FBIはアドバイザリーを公開し、新たなフィッシング手口「コールバック型フィッシング」の脅威について注意喚起を行っています。
コールバック型フィッシングは、セキュリティゲートウェイによる検出を回避するために二つのテクニックを使っています。一つはテキストで書かれたメールに見せかけた画像を利用すること。もう一つは悪意のあるWebサイトへのURLによる誘導ではなくユーザーに電話をするように促すことです。この攻撃は、最終的にはランサムウェアの感染を目論みます。
コールバック型フィッシングの2つの例を以下に示します。
最初の例:
2 番目の例
(McAfee アンチウイルスの偽の領収書):
いずれのケースでも送信者は、クレジットカードが不正に利用されており、誤請求を防ぐ必要があるとして、ユーザーに電話をかけさせようとしています。
このメールには、クリックできるURLリンクはありません。クリックができそうなリンクもありますが、すべてクリックできません。これらの2つの事例もそうですが、ほとんどの場合、フィッシングメール全体はクリックできない1枚の画像から構成されています。また、電話番号は目立つように数か所に表示されています。このフィッシングメッセージでは、ユーザーに電話をかけるように求めています。
通常、この手の詐欺では、ユーザーが電話すると、海外の偽のコールセンターに転送されますが、偽コールセンターは様々な種類のコールバック詐欺を扱っているため、電話をしてきたユーザーがどの種類の詐欺に引っかかっているか確認するため、問い合わせ内容を詳しく尋ねてきます。
しかし、FBIが警告している事例では、フィッシングメールにある電話番号は、特定の目的に特化したランサムウェアグループのコールセンターにつながり、ターゲットのユーザーのコンピューターやシステムにランサムウェアに感染させられるように、できる限り多くの権限を奪おうとしたりツールをインストールさせようとします。
コールバック詐欺においても一般的にユーザーに新たにソフトウェアをインストールさせようとします。これまでは、バックドアやトロイの木馬などのカスタムプログラムが使われていましたが、最近では、管理者が利用する管理ツールや、リモートアクセスツールなど、正規の(あるいは企業では利用が認められていない)プログラムが多く使用されています。FBIの事例にあるようなコールバック詐欺では、攻撃者は、正規のプログラムを使って、悪意のあるプログラムやスクリプトをインストールしたり、ユーザーの画面を監視したりします。
ランサムウェアでは、攻撃者はユーザーを誘導してランサムウェアをインストールさせます。コールバック詐欺では、詐欺師がユーザーに指示を出して送金させるか銀行口座へのアクセスをさせようとします。詐欺師はリモートアクセスできれば、被害者の金銭を騙し取るために取引を操作して、これらの悪意のある操作を秘密裏に行うことができるのです。
コールバック型フィッシング詐欺は、フィッシング対策のコンテンツフィルターによってブロックすることが困難であるため、犯罪者にとって人気が高まっています。これまでのフィッシング攻撃で使われるメールは、メールセキュリティシステムのコンテンツフィルターによって、テキストや、URL、そのリンク先のコンテンツやコードなどが検査され、悪意のあるメールであることを見抜かれてしまう可能性がありました。
コールバック型フィッシングでは、メッセージ全体が1枚の大きな画像になっています。多くのフィッシング対策のコンテンツフィルターは、画像に埋め込まれているテキストを「判読する」ことはできません。これらのフィルターが検証できるのは、画像ファイルの名前かハッシュぐらいですが、ファイル名もファイルハッシュも標的とするユーザーごとに異なるものを容易に作ることができるので、検出することは困難です。
ヒント:フィッシング対策のコンテンツフィルターに画像ファイルに埋め込まれているテキストを読み取らせるには、光学式文字認識(OCR)機能を実装する必要があります。
また、どのようなフィッシング対策のコンテンツフィルターでも電話番号を読み取って、それが悪意のあるものかどうか判断することはできません。フィッシング対策のフィルターはその番号に電話をかけることはしませんし、「悪意のある電話番号」を検索できるデータベースもありません。したがって、コールバック型フィッシング詐欺では、メールセキュリティのコンテンツフィルターを容易に出し抜くことができます。
自社を守るための方法
まず、自社の従業員を教育し、コールバック型フィッシングについての理解を深めましょう。1枚の画像ファイルのみが含まれ、電話番号が繰り返し記載され、クリック可能なリンクがないメールは疑ってかかるべきです。
さらに、従業員に以下の2つの特徴があるメッセージを受信したときには、警戒するように教育してください。
- 予期していないメッセージを不意に受け取った場合。
- 少なくともその送信者から、これまで一度も依頼されたことのない操作を実行するように求められた場合。
これらの2つの特徴があるメッセージは、悪意がある可能性が高いです。依頼された操作を実行する前に、その会社に直接電話する、正規のWebサイトに直接アクセスするなど、他の方法で確認してください。
以下は、このアドバイスを図で示したものです。
FBIが警告するほどに、コールバック型フィッシング詐欺は拡大しています。フィッシング対策の防御機能が進化し、コールバック詐欺を検知およびブロックできるようになるまで、企業が取ることができる最善の対策は、コールバック詐欺を見分けて影響をできるだけ受けないようにする方法と、問題が発生した場合に適切に報告する方法を従業員に教育することです。脅威に関する知識を身につけることが、会社と自分を守るための大きな力になります。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Roger Grimes著 2023年11月10日発信 https://blog.knowbe4.com/fbi-warns-callback-phishing