フィッシングメールを使って、認証情報を不正に入手するには、それなりの手間がかかる。それに対して、標的に関する既存の情報を利用して標的になりすまして、標的がDropbox、LinkedIn、instagram、WordPress.com 、Zoomなどの人気のあるWebサービスにアカウントを開設する前に乗っ取ってしまう新しい攻撃手法が発見されている。
この調査報告書では、この新種の手法が上手くいくのは、限られていると記述している。ここに、比較的に上手くいった2つの例を説明する。
どのような方法であれ、攻撃者の目的は、狙った標的のメールアドレスに関連付けられた新しいアカウントへのアクセスを可能にすることである。結果として、攻撃者は、上手くいけば、FacebookなどのWebサービスプラットフォーム上で、ユーザーとしてなりすまして、侵入したアカウントを使用することができる。マイクロソフトのリサーチャーは、75のよく使われているWebサービスをチェックした。その結果、これらのうち少なくとも35は、アカウントプリハイジャック攻撃に対して1つまたは複数の脆弱性であることが確認している。
このような新種のテクニックについて常に認識することは必要である。特に、Facebook、Twitter、Linkedin、instagram、Zoom、Amazonなどの人気のあるWebベースのサービスは多数あるが、まだアカウントを開設していない場合は、要注意である。是非、セキュリティ意識向上トレーニング を受講していだだきたい。セキュリティ意識向上トレーニングを通して、従業員の方々が、設定していないアカウントのパスワードリセット通知を受け取ったら、これは疑わしいレッドフラグであることを従業員一人ひとりが理解できるようにすることである。
原典:Stu Sjouwerman著 2022年6月20日発信 https://blog.knowbe4.com/pre-hijacking-of-online-accounts-are-the-latest-method-for-attackers-to-impersonate-and-target