2023年2月2週目 Criminal IPで検知されたフィッシングサイトおよび悪性ドメインの検索語 CIP Weekly Blacklist – Phishing or Malicious URL * リンクをクリックすると、CIP検索結果ページへ移動します。 Steam Community のフィッシングサイト hxxps://steamcommunnitys[.]com/digitalgiftcards/1439447 Metamask のフィッシングサイト hxxps://updatemetamask[.]net/?gclid=EAIaIQobChMIso_BgqXg_AIVx8PVCh1RWg-J 360K
世界中の検索エンジンマーケットの92%を占めているGoogleは、唯一無二な検索アルゴリズムで多くのインターネット使用者が利用しています。Googleの高度化されたアルゴリズムによって検索結果の上段に現れるウェブサイトに、その検索語によって1日で数万・数百万のGoogle検索エンジンユーザーが訪問します。Googleはできるだけ悪性またはフィッシングサイトを上位表示から排除するためにアルゴリズムを改善していますが、それにも関わらず、サイバー攻撃者は最大限多くの被害者が悪性ウェブサイトに訪問できるようにGoogleの掲載順位ロジックを巧妙に悪用します。その中でもGoogle広告(Google Ads)を悪用したフィッシング、悪性ウェブサイト攻撃は続いて提起される悪質的な攻撃の手口です。 最近、セキュリティメディアのBleeping ComputerではGoogle検索広告フィッシングを対象としてBitwardenのパスワードウォールがターゲットになり、多くの人がそのGoogle広告フィッシングで資格証明を盗用されたという記事が発行されました。その他にも今までGoogle広告を悪用して検索エンジンのユーザーにフィッシング、詐欺の被害を与えた多くのフィッシング攻撃事件がありましたが、あまりにも精密に作られたフィッシングサイトは適当な対策がないまま、続いてGoogle検索結果の上位に表示されています。 メタマスクの Google広告フィッシングサイト 仮想通貨ウォレットサービスのメタマスク(MetaMask)は、月3百万人以上が訪問する人気の仮想通貨サービスです。そして多くのユーザーはメタマスクのウェブサイトにアクセスするためにGoogle検索エンジンを利用します。Googleに「メタマスク」とか「メタマスクウォレット」などに検索すると、メタマスクの公式オンラインウェブサイトが表示されると当たり前に思うのが普通です。もし、上位に表示されたサイトが全然違うタイトル・説明を掲げているとしたら、スクロールしてユーザー自身がアクセスしたいウェブサイトを直接選べば良いが、実際のサイトと同じタイトル・説明で表示された検索結果が現れたらどうでしょう。 実際にメタマスクのGoogle広告フィッシング事件は2020年から何件か報告されてきました。攻撃者はフィッシングサイトの広告がブロックされたら、しばらく後でまた新たなドメインで再び広告を露出させる方法で攻撃を続けています。今度発見したメタマスクのGoogle広告フィッシングの事例は韓国のGoogle検索結果でした。画像のように「메타 마스크」というキーワードをGoogleの検索ボックスに入力すると、検索結果の一番上にAdの表示とともにメタマスクのTitleになったウェブサイトが見えます。 韓国のGoogle検索ボックスに「메타 마스크」で検索した結果、Google広告が一番目に見える Googleの使用者は、メタマスクにアクセスするために疑いなく一番上に表示されたサイトをクリックするはずです。実際にこのウェブサイトへアクセスすると、次のようなメタマスク公式ウェブサイトに見えるサイトにアクセスされます。 Google検索結果の一番上位に表示されたメタマスクの類似ウェブサイトにアクセスした画面 Google広告をクリックしてユーザーがアクセスした後、変なところを見つけ出せるでしょうか。それはたぶん無理です。実際のメタマスクのウェブサイトと比べてファビコン、タイトル、ウェブUI/UXの全てが実際のサイトと同じく作られているためです。 たった一つ、実際のウェブサイトと違うしかないところがURLアドレスです。Google広告フィッシングサイトで作られたURLは実際のウェブサイトと最大限同じようにみえるため mètamaśk[.]com というURLを使用しました。一見すると、実際のウェブサイトのURLであるmetamask.ioと区別するのは難しいですが、詳しく見ると「e」と 「s」 の代わりに 'è', 'ś'を使ってもっともらしく偽造しました。
2023年2月1週目 Criminal IPで検知されたフィッシングサイトおよび悪性ドメインの検索語 CIP Weekly Blacklist – Phishing or Malicious URL * リンクをクリックすると、CIP検索結果へ移動します。 Adobe のフィッシングサイト hxxp://www[.]onestepfaster[.]com/newDocument/8668/9097/0987666.html Microsoft のフィッシングサイト hxxp://login-partner-microsoftonline[.]jalanpropertymanagement[.]com/[.]par[.]/[.]mail[.]/[.]l0l hxxps://infinite[.]yunethosting[.]rs/cr/index[.]html Google Login
2023年1月4週目 Criminal IPで検知されたフィッシングサイトおよび悪性ドメインの検索語 CIP Weekly Blacklist – Phishing or Malicious URL * リンクをクリックすると、CIP検索結果ページへ移動します。 MetaMask のフィッシングサイト hxxp://metamask003[.]com Commonwealth Bank のフィッシングサイト hxxps://netbank-cancel-payment[.]com/pages Steam Community
2022年度の下半期にCitrix ADCとCitrix Gatewayから2つの致命的な脆弱性の CVE-2022-27510、CVE-2022-27518 が公表されました。この2つのCitrix脆弱性はCVSSスコアが両方9.8点のCriticalが出るくらい強力な脆弱性であり、実際のハッキング攻撃にも多く悪用されているという事例が今までも続いて報告されています。 そのセキュリティ脆弱性を持っているCitrix ADCとGatewayが未だに数多くインターネットに放置されています。もちろんCitrixのHTTPバナーには正確なバージョン名が表記されていないため、CVE-2022-27510、CVE-2022-27518の脆弱性を保有するケースを正確にキャッチすることはできないという意見もあるが、それは正確な話ではありません。若干のOSINT技術を用いると、正確なCitrix ADC / Gatewayのバージョン情報を調べられ、攻撃者は分かった情報でインターネットに放置されているCitrix ADC / Gatewayのサーバーへ不法的に浸透することができます。 持続的に悪用される CVE-2022-27510、CVE-2022-27518 まず、何か月か前に報告されたCitrix ADC / Gatewayの2つの脆弱性、「 CVE-2022-27510、CVE-2022-27518
Criminal IP v1.12.1 定期点検及びアップデートが行われました。 [Criminal IP v1.12.1] 定期点検及びアップデートのリリースノート 定期点検及びアップデートの日時:2023.01.19 06:00~8:00 AM (UTC) [New Change] IP アドレスの範囲に関する情報ページが追加されました。 IPの範囲:全IPv4アドレスの範囲 X.X.X.X/8 : 0.0.0.0/8サブネットの範囲 X.X.X.X/16 : 0.0.0.0/16サブネットの範囲 X.X.X.X/24 : 0.0.0.0/24サブネットの範囲に当たる全IPv4アドレスリスト [Improvements]
2023年1月3週目 Criminal IPで検知されたフィッシングサイトおよび悪性ドメインの検索語 CIP Weekly Blacklist – Phishing or Malicious URL * リンクをクリックすると、CIP検索結果ページへ移動します。 Gmail のフィッシングサイト hxxp://mjaymup1bmu0mtf0aa[.]filesusr[.]com/html/c69417_3069841d505568614ed8bca153fc7adf.html?*agfja2vyrmvlbdaxmipodhrwczovl3jvynv4lmjlc3quy29tkiplcyp2awxsyxjlbhvjyxnaz21hawwuy29t* Facebook のフィッシングサイト hxxp://facebook-help-20024145785202[.]firebaseapp[.]com hxxp://mfacebook-help-5005412798505[.]firebaseapp[.]com Steam Community
キオスク(KIOSK)端末とは、政府機関や銀行、デパート、展示場、食堂などの公共の場に設置されたタッチスクリーン方式の無人情報端末です。企業及び機関は無人セルフサービスの利便性など、利点のため、より広い産業と分野にキオスク端末の導入を進めています。 新しい技術はいつもリスクを伴うように、キオスク端末もセキュリティ脅威の問題が続いて挙げられています。特に、キオスク端末は予約、決済サービスが主な目的であるだけに個人情報を保存・処理するため、攻撃者のターゲットになるのに最適です。一部のキオスク端末サービスはセキュリティについて十分に考慮されないまま配布されることもありあす。キオスク端末ハッキングが発生する理由としてはいろいろありますが、今度はパブリックネットワーク及びオープンポートで運営される攻撃対象領域に漏えいされたキオスク端末システムと管理者ページを検知し、脅威を予防できる方法について話してみます。 インターネットに漏えいされたキオスク端末システムの管理者ページ キオスク端末ハッキングが発生する理由の1つとして、インターネットに漏えいされたキオスク端末システムの管理者ページを挙げられます。キオスク端末の供給業者とサービスを提供する企業及び機関はエンドポイント顧客がキオスク端末で決済、予約などの機能を使用できるよう、キオスク端末システムで管理します。正常のキオスク端末システムは外部からのアクセスがブロックされているべきで、管理者ページへのログインなどの認証を行わないとアクセスできません。 セキュリティOSINT検索エンジン、Criminal IPを活用してパブリックインターネットからアクセスできるキオスク端末システムの管理者ページを検索してみました。Criminal IP IT資産検索の検索ボックスにTitleフィルターを活用して次の検索語を入力すれば、漏えいされたキオスク端末システムを探せます。 Search Query : Title: Kiosk management console UI https://www.criminalip.io/ja/asset/search?query=title%3AKiosk+management+console+UI Criminal IP IT資産検索で検索した外部ネットワークに漏えいされたキオスク端末の管理システム また他の検索語の"Title:
2023年1月2週目 Criminal IPで検知されたフィッシングサイトおよび悪性ドメインの検索語 CIP Weekly Blacklist – Phishing or Malicious URL * リンクをクリックすると、CIP検索結果ページへ移動します。 Netflix のフィッシングサイト hxxp://aflah-backer.github[.]io/Netflix-clone hxxp://netflix-payment-update-id0112[.]com/netflix/5837e05c0213dc1617e409543331442c PayPal のフィッシングサイト hxxp://mailer[.]cl[.]tripod.com/update/index.htm Amazon のフィッシングサイト
Criminal IP v1.10.1 アップデートが行われました。 [Criminal IP v1.10.1] アップデートのリリースノート アップデートの日時:2023.01.09 06:00~8:00 AM (UTC) [Improvement] マイ情報ページの改編 マイ情報ページのUI/UXを改善 マイサポートのリニューアル – コメント作成の機能を追加、添付ファイルアップロードの機能を追加、サポートケースの状態を細分化 IT資産検索の詳細ページ内の「最新のポート開放」の結果の中でウェブサービスへのアクセスリンクを追加 IT資産検索のSMBバナー収集を拡大
