特集記事

COVID-19 のピーク時にサイバー犯罪者の便乗が激化し、フィッシング攻撃が 220% 増加

F5 Labs 2020 フィッシングおよび詐欺レポートの著者である David Warburton 氏が、このビデオで詐欺師がどのようにパンデミックに適応しているかを説明し、今後の傾向を説明しています。概要コメントは下記にあります。
 

F5 Labsの新しい調査によると、COVID-19はサイバー犯罪者のフィッシングや詐欺行為を大幅に強化し続けている。 

フィッシングおよび詐欺に関するレポートの第 4 版では、世界的なパンデミックの最中にフィッシング事件が年間平均と比較して 220% 増加したことが判明しました。

F5 のセキュリティ オペレーション センター (SOC) のデータによると、2020 年のフィッシング インシデントの数は前年比 15% 増加する見込みですが、パンデミックのさらなる波が広がるにつれて、この状況はすぐに変わる可能性があります。

COVID関連のフィッシングメールの主な目的は、偽の慈善団体への不正な寄付、認証情報の収集、マルウェアの配信の3つであることが判明しました。 

フィッシャーのドメイン 

前年の調査によると、F5 Labs は、詐欺師がフィッシング サイトの名前とアドレスに関してこれまで以上に独創的になっていると指摘しました。  

2020 年現在までに、フィッシング サイトの 52% が Web サイトのアドレスにターゲットのブランド名とアイデンティティを使用しています。 F5 Labs は、Webroot のフィッシング サイト データを使用して、2020 年後半に最も標的となったブランドが Amazon であることを発見しました。 Paypal、Apple、WhatsApp、Microsoft Office、Netflix、Instagramも、なりすましが最も多いブランドのトップ10にランクインしました。 

F5 Labs は、資格情報の盗難から実際の攻撃での使用までを追跡した結果、犯罪者が被害者をフィッシングしてから 4 時間以内に盗んだパスワードを使用しようとしていることを観察しました。 多要素認証 (MFA) セキュリティ コードの取得を可能にするために、リアルタイムで攻撃が発生することさえありました。 

ありふれた光景に隠れる 

2020年には、フィッシング詐欺師が詐欺サイトを可能な限り本物らしく見せかける取り組みを強化したことも見られました。 F5 SOC の統計によると、ほとんどのフィッシング サイトは暗号化を活用しており、72% が有効な HTTPS 証明書を使用して被害者を騙していました。 今年は、マルウェアによって盗まれたデータが送信されるドロップゾーンの 100% で TLS 暗号化が使用されました (2019 年の 89% から増加)。

F5 Labs は、2019 年と 2020 年のインシデントを組み合わせて、ドロップ ゾーンの 55.3% が非標準の SSL/TLS ポートを使用していたことも報告しました。 1 つのインスタンスを除くすべてのインスタンスでポート 446 が使用されました。 フィッシング サイトの分析により、98.2% が標準ポートを使用していることが判明しました。 クリアテキスト HTTP トラフィックの場合は 80、暗号化された SSL/TLS トラフィックの場合は 443。

将来の脅威 

Shape Securityの最近の調査(フィッシングおよび詐欺レポートに初めて統合)によると、2 つの大きなフィッシングの傾向が近づいているとのことです。

ボット トラフィック (ボットネット) のセキュリティ制御とソリューションが向上した結果、攻撃者はクリック ファームを活用し始めています。 これには、最近収集された資格情報を使用して、数十人のリモート「ワーカー」が体系的に対象の Web サイトにログオンしようとすることが含まれます。 接続は標準の Web ブラウザを使用する人間によって行われるため、不正行為を検出することが難しくなります。

比較的少量の攻撃でも影響はあります。 たとえば、Shape Security は金融サービス組織における毎月 1,400 万件のログインを分析し、手動による不正行為率が 0.4% であると記録しました。 これは 56,000 件の不正ログオン試行に相当し、この種の活動に関連する件数は今後も増加する一方です。

Shape Security の研究者は、多要素認証 (MFA) コードをキャプチャして使用できるリアルタイム フィッシング プロキシ (RTPP) の量の増加も記録しました。 RTPP は中間者として機能し、被害者の実際の Web サイトとのトランザクションを傍受します。 攻撃はリアルタイムで行われるため、悪意のある Web サイトは、MFA コードなどの時間ベースの認証をキャプチャして再生するプロセスを自動化できます。 セッション クッキーを盗んで再利用することもできます。

最近アクティブに使用されているリアルタイム フィッシング プロキシには、 ModlishkaEvilginx2 などがあります。 F5 Labs と Shape Security は、今後数か月間、RTPP の使用の増加を監視する予定です。

詳細については、F5 Labs 2020 フィッシングおよび詐欺レポートをダウンロードしてください。 

レポートについて

今年の F5 Labs フィッシングおよび詐欺レポートでは、F5 セキュリティ オペレーション センター (SOC) からの 5 年間分のフィッシング インシデントを調査し、OpenText の Webroot® BrightCloud® インテリジェンス サービスによって提供されるアクティブおよび確認済みのフィッシング サイトを詳細に分析します。 また、Vigilante によるダーク ウェブ市場データの分析と Shape Security による調査も含まれています。 これらを組み合わせることで、フィッシングの世界の完全かつ一貫した全体像が構築されます。