FortinetのCISOであるDr. Carl Windsor氏によると、Microsoft 365のテストドメインを悪用して、PayPalからの正規の支払い要求を送信するフィッシングキャンペーンが展開されています。
Windsor氏は、攻撃者が無料のMS365テストドメインを登録し、それを使って標的のメールアドレスを含む配信リストを作成していることを発見しました。攻撃者は、その後この配信リストを利用して、PayPalのWebポータル経由で支払い要求を送信します。
Windsor氏は次のように述べています。
「リンクをクリックするとPayPalのログインページへリダイレクトされ、支払い要求が表示されます。パニックに陥った人は自分のアカウント情報でログインしたくなりますが、これは非常に危険です。メールを受信したアドレスではなく、メールが送信されたPayPalアカウントのアドレスとリンクさせるためです。」
もし被害者がこのWebポータルにPayPalアカウントでログインすると、そのアカウントは詐欺師のPayPalアカウントにリンクされます。
「金銭の要求は標的となった被害者に配信され、Microsoft365の送信者書き換えスキーム(SRS: Sender Rewrite Scheme)機能によって、送信名がbounces+SRS=onDJv=S6[@]5ln7g7[.]onmicrosoft[.]comのように書き換えられ、SPF/DKIM/DMARCなどの認証を通過します。動揺した被害者が状況確認のためにログインすると、詐欺師のアカウントと被害者のアカウントがリンクされ、その後詐欺師は被害者のPayPalアカウントを乗っ取ります。これは非常に巧妙な手法で、PayPalのフィッシングチェック機能もすり抜けてしまいます」とWindsor氏は説明しています。
このフィッシング攻撃に注力すべきは、正規のサービスをあらゆる段階で巧妙に悪用し、メッセージがセキュリティフィルターを回避しやすくしている点です。これにより、セキュリティ意識向上トレーニングを受けていないユーザーを欺く可能性を高めています。
Windsor氏は次のように締めくくっています。
「この攻撃の狡猾な点は、従来のフィッシング手法を使用していないことです。メール、URL、そのほかすべてが完全に有効です。そのため、最善の対策は人が正しい判断を下すこと、つまりヒューマンファイアウォールを築くことです。どんなに本物らしく見えても、迷惑メールに警戒し、脅威に気づける人が最後の防御壁となります。従業員と組織の安全を守るために、従業員が攻撃を見抜くためのトレーニングの必要性が改めて浮き彫りになっています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Fortinetの記事を参照してください。
原典:Stu Sjouwerman著 2025年1月9日発信 https://blog.knowbe4.com/phishing-campaign-abuses-legitimate-services-to-send-paypal-requests