Webサイトのセキュリティ製品を提供しているSucuri社のリサーチャーによると、「Greatness」と呼ばれるPhaaS(サービスとしてのフィッシング)プラットフォームが登場し、Microsoft 365アカウントを狙ったフィッシング攻撃が増加しています。
URLをスキャンした結果、このキットにより影響を受けているであろうと思われる何千ものページがあることが分かりました。サイバー攻撃者が、ライセンスを購入すると、これらの攻撃を仕掛けるためのソフトウェアが提供されます。このソフトウェアはどこでもホスティングすることが可能ですが、侵害されたWebサイトの深部に隠されているケースを多く確認しています。」
このプラットフォームは、攻撃者がいかにも本物であるようなフィッシングメールを誰でも作成できるように使いやすいインターフェースを提供しています。
Sucuriのリサーチャーは以下のように述べています。「Office Pageは、キャンペーン作成ツールとして機能し、フィッシングを行う攻撃者が詳細なフィッシングキャンペーンを作成したり、詐欺用のリンクを追加した精巧な偽メッセージを作成したり、マルウェアを埋め込んだ添付ファイルを作成したりできます。このプラットフォームを使用すると、攻撃テンプレートを簡単に作成でき、さまざまなファイルタイプを模倣するために背景を変更したり、事前に標的のアカウントを設定してフィッシングプロセスを効率化する「autograb」機能を使用したりできるなど、フィッシング攻撃を自在にカスタマイズできます。」
このキットの特筆すべき点は、攻撃者が多要素認証(MFA)をバイパスできる機能を提供していることです。
Sucuriは、次のように解説しています。「Greatnessは高度な認証手順を使用しています。被害者がパスワードを入力すると、Greatnessは多要素認証(MFA)が有効かどうかを確認します。MFAが有効な場合、被害者には追加情報を入力するように求めるプロンプトを表示します。MicrosoftのAPIを利用することで、このツールは有効なセッションクッキーを取得できます。」
Sucuriのリサーチャーは、Greatnessのようなフィッシングキットによって、スキルのない犯罪者でも説得力のあるソーシャルエンジニアリングを実行できるようになると述べています。
Sucuriのリサーチャーは、次のように結論付けています。「このツールキットを使用すれば、技術的な知識がない初心者でも巧妙なフィッシング攻撃を実行できるようになります。サイバー犯罪を始めるハードルが低くなり、楽に儲けることができるとわかれば、犯罪が増え、被害が増える可能性は高まります。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
詳細については、Sucuriの記事を参照してください。
原典:Stu Sjouwerman著 2024年2月5日発信 https://blog.knowbe4.com/phishing-as-a-service-kit-with-ability-to-bypass-mfa-targets-microsoft