セキュリティ企業のMenlo Securityのリサーチャーは、過去6か月間にブラウザーベースのフィッシング攻撃が198%増加したことを明らかにしました。
「攻撃者は、ブラウザーを標的にした高度で大規模な攻撃を可能にするツールを開発しました。」と同社のリサーチャーは述べています。「サービスとして提供されるフィッシングキット(PhaaS)やランサムウェアキット(RaaS)などのサイバー犯罪用のツールによって、簡単なプロセスを実行するだけで、高度な攻撃を仕掛けることが可能になっています。これらのキットを利用すると、攻撃者はテンプレート、スクリプト、リソースをすぐに利用できるようになり、悪意のあるキャンペーンを簡単に作成して展開できます。このようなツールはまた、初歩的なスキルしか持たない攻撃者でも、特定の企業や組織から機密情報を詐取することを目的として、説得力のある詐欺を行うためのWebサイトや電子メールを簡単に作成できるようにします。」
このレポートでは、セキュリティフィルターを回避するために、信頼できるURLを使用する特殊なフィッシング攻撃について注意喚起しています。
LURE(Legacy URL Reputation Evasion)と呼ばれる従来のURLレピュテーションシステムを回避する手法は、セキュアWebゲートウェイやURLレピュテーションフィルターなど一般的に導入されているセキュリティツールによるWebサイトの分類を回避することを目的としています。この手法は、特にブラウザーをターゲットにしたフィッシング手法です。
「サイバー攻撃者は、信頼できるWebサイトを乗っ取るか、または、新しいWebサイトを作成してそのURLやドメインが信頼されるまでしばらく期間を置く手法を利用します。そして、これらのURLとリンクされているWebサイトを利用してフィッシング攻撃を実行します。この手法は2023年に一年を通してよく見られました。このような攻撃では、これらのWebサイトのURLは安全なカテゴリに属しているため、セキュアWebゲートウェイやURLフィルターによってブロックされることはありません。ユーザーはこれらフィッシングサイトのURLを特に警戒もせずにアクセスして、マルウェアに感染してしまうか、認証情報を騙し取られてしまい、セキュリティが破られてしまいます。」
新しいスタイルの先進的なセキュリティ意識向上トレーニングを導入すれば、フィッシングやソーシャルエンジニアリング攻撃を防御するために不可欠な防御レイヤーを構築することができます。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
詳細については、Menlo Securityのブログを参照してください。
原典:Stu Sjouwerman著 2024年1月25日発信 https://blog.knowbe4.com/browser-based-phishing-attacks-on-the-rise
