新しいPhaaS(Phishing as a Service: フィッシングサービス)サービス「Tycoon 2FA」は、世界で最も使用されているメールプラットフォームの多要素認証(MFA)を出し抜く仕組みを提供しています。
Tycoon 2FAの二要素認証を出し抜く基本的な仕組みはこれまでと変わりありません。攻撃者は、リバースプロキシを使ってログインリクエストを盗み見るための正規のメールプラットフォームを装ったフィッシングWebページを被害者に送り、そのログイン情報を盗み取ります。
しかし、このプラットフォームの手口はさらに高度になっています。セキュリティベンダーのSekoiaが公開したフィッシングキットに関する分析では、サイバー攻撃者が最新のPhaaSプラットフォームを高度化するための開発に多くの時間を費やしていることを指摘しています。
同社が公開した以下の図では、サイバー攻撃者が標的ユーザーに気づかれることなく2要素認証(2FA)を回避する方法が説明されています。
出典:Sekoia
コンピューターセキュリティに関するブログを公開しているBleeping ComputerはSekoiaの分析に関するブログを投稿しました。ブログによると、この攻撃には7つの段階があります。
- ステージ0:サイバー攻撃者はURLまたはQRコードを貼り付けたメールをユーザーに送信して悪意のあるリンクを拡散し、フィッシングページにアクセスするよう誘導します。
- ステージ1:入力しているのがコンピュータプログラムではないことを確認するための「セキュリティチャレンジ」によりインターネットボットが除外され、実際のユーザーのみがフィッシングサイトに誘導されます。
- ステージ2:スクリプトがバックグラウンドで実行され、URLから標的ユーザーのメールを抽出し、フィッシング攻撃をそのユーザーに合わせてカスタマイズします。
- ステージ3:標的ユーザーは、気が付かないうちにフィッシングサイトとは別の場所にリダイレクトされ、偽のログインページに誘導されます。
- ステージ4:サイバー攻撃者は、ブラウザとWebサーバーとの間で双方向通信を行うWebSocketを使用してデータを抽出し、認証情報を詐取するための偽のMicrosoftログインページを表示します。
- ステージ5:Tycoon 2FAは2要素認証(2FA)のチャレンジを模倣し、2要素認証(2FA)トークンまたは応答を傍受することでセキュリティ対策を回避します。
- ステージ6:標的ユーザーは最終的に正規のWebページのように偽装されたWebページに誘導されます。そのため、ユーザーがフィッシング攻撃の被害に遭ったことに気づくことはありません。
Sekoiaによると、Tycoonは2019年にこのフィッシングサービスを開始して以来、総額で約6000万円以上のビットコインを受け取ったと推定されます。Sekoiaは、2024年の後半以降、「半年間に渡り、数百のTycoon 2FAキットがPhaaSサービスとして販売されている」と推定しており、Tycoon 2FAキットの人気と効果が高まっています。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年4月9日発信 https://blog.knowbe4.com/new-phishing-as-a-service-phaas-platform-tycoon-2fa-targets-microsoft-gmail-accounts
