広がりを見せる新たなフィッシング詐欺

先日フォーティネットの監視により、新たなフィッシング詐欺が横行していることが検知されました。標的となっているのは、プロバイダが提供しているYahooMailやGmailなどの電子メールを使用しているユーザーです。以下は、このフィッシング詐欺の詳細および被害者にならないための対策を説明したフォーティネットの分析結果です。

以下は、フィッシングメールのスクリーンショットです。


図1: フィッシングメール

図1は、フィッシングに使用された電子メールの内容です。添付のRARファイルには、偽のYahooログインページとして使用される単純なHTMLページが含まれています。


図2: 偽のYahooログインページ

このページは、オリジナルのYahooログインページを単純なHTML版にしたもので、フィッシング用に変更されています。

このページの先頭行には、次のようにブラウザにアラートボックスを表示させるJavaScriptコードが追加されていました。


図3: 偽のログインページからのアラート

このアラートは、「文書」のダウンロードが失敗したためサインインする必要がある、とユーザーに信じ込ませるためのものです。また、ユーザーの注意をブラウザのアドレスバーではなくページそのものに向けさせようとしています。ユーザーはこの時点で本物のログインページが表示されていると思い込み、ログインしてしまいます。


図4: file:// のスキームを使用したアドレスバー

ユーザーがこのページにうっかりログインすると、すべてのログイン認証情報がハッカーのWebサイトに送信されてしまいます。フィッシングHTMLの「Invoice.htm」のコードは次のようになっています。


図5: 変更されているPOST部分


図6: 元のYahooのPOST

ユーザーが偽のログインページでログイン要求を送信しようとすると、次のように一部の情報が送信されます。


図7: 送信される一部のデータ(Mozilla FirefoxのTamper Dataプラグインによって取得)


図8: Wiresharkによって取得したデータ

送信された情報は、ハッカーのデータベースに保存されます。

同じ攻撃者が従来の手法で行う新たな攻撃

この数ヶ月のフィッシングメールを検証したところ、メールの作成者がOutlookおよびcPanel Webmailも標的にしていたことが確認されました。


図9: Outlook Webアプリ上のフィッシング画面(malwr.com提供)


図10: cPanel Webmailのフィッシング画面(malwr.com提供)

上記のOutlookとcPanel Webmailのフィッシング画面は、共にcoalcitymag.comでホスティングされており、このドメインは今回のフィッシング詐欺と同じメールアドレス(rodriguez_psm@yahoo.com)を使用して登録されていました。このメールアドレスを使用して登録されていた悪意のあるドメインは、次のとおりです。

xtrernemg.com
coalcitymag.com
jukisin.com
coalcitymag.net
coalcitymag.org
ydkk.biz

まとめ

このフィッシング詐欺では単純で初歩的な方法が用いられていますが、不慣れなユーザーには有効である可能性があります。この攻撃の被害者にならないためには、以下のアドバイスに従ってください。

  • 認証情報を送信する前に、サイトのアドレスを必ず確認する。
  • 信頼できないユーザーからの電子メールの添付ファイルは絶対に開かない。信頼できないユーザーから不審なメールを受信した場合は、電話をかけたり直接尋ねたりするなどの方法でそのユーザーに確認する。
  • FortiGateユーザーの方は、FortiGuard Webフィルタリング機能を有効にし、フィッシングカテゴリをブロックに設定してください。

フォーティネットは、悪意のあるHTML添付ファイルをHTML/Phising.A838!trとして検出し、フィッシングカテゴリに含まれるすべての関連URLをブロックします。

-= FortiGuard Lion Team =-