クロスサイトスクリプティング(XSS)は依然として多く利用されており、フィッシングメール内の悪意のあるリンクを難読化し、サイバー攻撃者が管理するWebサイトにユーザーをリダイレクトする攻撃に使用されています。
今年初めには、XSSを利用したフィッシング攻撃が増加していることが明らかになりましたが、米国のサイバーセキュリティベンダーであるINKYが公開した最新の分析結果から、新たな詐欺ではXSSを利用して、フィッシングメールに悪意のあることを隠していることも判明しています。
このような攻撃は通常、以下に示すように、被害者が何かに当選したというメールから始まります。
出典:INKY
「今すぐ始める(Get Started Now)」というリンクに関連付けられているURLは、一見すると無害なWebサイトへのリンクで、「q=」というクエリと長い文字列が含まれています。実際にはこの文字列はエンコードされたJavaScriptコードであり、Webページにスクリプトを挿入して、サイバー攻撃者が管理するWebサイトにブラウザをリダイレクトする仕組みになっています。
今回の攻撃で偽装されたMarriott、Harbor Freight、Lowes、Costoなどのブランドは、このような景品を提供していないため、詐欺であることを簡単に見破ることができます。
新しいスタイルの先進的なセキュリティ意識向上トレーニングを受講したユーザーは、「うますぎる話はほとんど詐欺」という事実をよく理解しており、サイバー攻撃の被害に遭わずに、悪意のあるメールを削除できるようになります。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年8月29日発信 https://blog.knowbe4.com/latest-phishing-scam-uses-cross-site-scripting-attack-to-harvest-personal-details