フィッシング Archives

Google広告フィッシングサイトを検閲する方法（メタマスク・フィッシングサイト）

世界中の検索エンジンマーケットの92％を占めているGoogleは、唯一無二な検索アルゴリズムで多くのインターネット使用者が利用しています。Googleの高度化されたアルゴリズムによって検索結果の上段に現れるウェブサイトに、その検索語によって1日で数万・数百万のGoogle検索エンジンユーザーが訪問します。Googleはできるだけ悪性またはフィッシングサイトを上位表示から排除するためにアルゴリズムを改善していますが、それにも関わらず、サイバー攻撃者は最大限多くの被害者が悪性ウェブサイトに訪問できるようにGoogleの掲載順位ロジックを巧妙に悪用します。その中でもGoogle広告（Google Ads）を悪用したフィッシング、悪性ウェブサイト攻撃は続いて提起される悪質的な攻撃の手口です。最近、セキュリティメディアのBleeping ComputerではGoogle検索広告フィッシングを対象としてBitwardenのパスワードウォールがターゲットになり、多くの人がそのGoogle広告フィッシングで資格証明を盗用されたという記事が発行されました。その他にも今までGoogle広告を悪用して検索エンジンのユーザーにフィッシング、詐欺の被害を与えた多くのフィッシング攻撃事件がありましたが、あまりにも精密に作られたフィッシングサイトは適当な対策がないまま、続いてGoogle検索結果の上位に表示されています。メタマスクの Google広告フィッシングサイト仮想通貨ウォレットサービスのメタマスク（MetaMask）は、月3百万人以上が訪問する人気の仮想通貨サービスです。そして多くのユーザーはメタマスクのウェブサイトにアクセスするためにGoogle検索エンジンを利用します。Googleに「メタマスク」とか「メタマスクウォレット」などに検索すると、メタマスクの公式オンラインウェブサイトが表示されると当たり前に思うのが普通です。もし、上位に表示されたサイトが全然違うタイトル・説明を掲げているとしたら、スクロールしてユーザー自身がアクセスしたいウェブサイトを直接選べば良いが、実際のサイトと同じタイトル・説明で表示された検索結果が現れたらどうでしょう。実際にメタマスクのGoogle広告フィッシング事件は2020年から何件か報告されてきました。攻撃者はフィッシングサイトの広告がブロックされたら、しばらく後でまた新たなドメインで再び広告を露出させる方法で攻撃を続けています。今度発見したメタマスクのGoogle広告フィッシングの事例は韓国のGoogle検索結果でした。画像のように「메타 마스크」というキーワードをGoogleの検索ボックスに入力すると、検索結果の一番上にAdの表示とともにメタマスクのTitleになったウェブサイトが見えます。韓国のGoogle検索ボックスに「메타 마스크」で検索した結果、Google広告が一番目に見える Googleの使用者は、メタマスクにアクセスするために疑いなく一番上に表示されたサイトをクリックするはずです。実際にこのウェブサイトへアクセスすると、次のようなメタマスク公式ウェブサイトに見えるサイトにアクセスされます。 Google検索結果の一番上位に表示されたメタマスクの類似ウェブサイトにアクセスした画面 Google広告をクリックしてユーザーがアクセスした後、変なところを見つけ出せるでしょうか。それはたぶん無理です。実際のメタマスクのウェブサイトと比べてファビコン、タイトル、ウェブUI/UXの全てが実際のサイトと同じく作られているためです。たった一つ、実際のウェブサイトと違うしかないところがURLアドレスです。Google広告フィッシングサイトで作られたURLは実際のウェブサイトと最大限同じようにみえるため mètamaśk[.]com というURLを使用しました。一見すると、実際のウェブサイトのURLであるmetamask.ioと区別するのは難しいですが、詳しく見ると「e」と「s」の代わりに 'è', 'ś'を使ってもっともらしく偽造しました。

By Criminal IP|2023-02-03T14:35:06+09:002023-02-03|Tags: フィッシング|0 Comments

CIP Weekly Blacklist : 10月3週目フィッシングサイトおよび悪性ドメインの検索語

2022年10月3週目 Criminal IPで検知されたフィッシングサイトおよび悪性ドメインの検索語 CIP Weekly Blacklist – Phishing or Malicious URL * リンクをクリックすると、CIP検索結果ページへ移動します。 Instagramのフィッシングサイト hxxp://www-instagram-com-nasaidpostinggshidnmnmnjawnzg3d[.]dotmytechnology[.]com/ Societe Generaleのフィッシングサイト hxxp://eh96va-societegenerale[.]fr/ Bancolombiaのフィッシングサイト hxxp://u1809777[.]cp[.]regruhosting[.]ru/

By Criminal IP|2022-10-18T21:18:10+09:002022-10-18|Tags: フィッシング, CIP Blacklist|0 Comments

スパムブロックの無駄をIPインテリジェンスで補完

スパムメールを防ぐために、企業は多くのスパムブロックソリューションとスパムフィルターなどをメールサーバーと連動させるのが一般的です。しかし、それでもスパムブロックソリューションに破って入ることは少なくありません。攻撃者はスパムメールのブロックソリューションを破るためによく知られている大手企業の公式メールサービスを利用したり、悪性リンクの検知および添えたファイルのチェックしたりするなど、スパムブロックソリューションの検知ロジックを巧妙に避けながら悪性メールを送ります。その場合、スパムフィルターを連動させたにもかかわらず、ユーザーの受信箱に悪性メールが受信されます。しかし、その頭の痛い問題もIPインテリジェンスを活用すれば相当な部分を補完できます。今度の投稿では、IPインテリジェンスで迷惑メールのブロックソリューションを破って入る悪性メールの問題を補完する方法やケースを紹介します。スパムブロックソリューションをバイパスするフィッシング攻撃のIPを追跡する方法次のように企業メールに受信された迷惑メールがあります。このメールは韓国のDaumというメールサービスを使ったためSPF問題などは発生せず、添付ファイルにはマルウェアが含まれてはいるが、スパムブロックソリューションをバイパスしてユーザーの受信箱まで入った状態です。スパムメールのブロックソリューションを破って入ったフィッシングメールメールを送った攻撃者の情報を確かめるためにメールのヘッダーを調べてみました。メールヘッダーの内容を説明することはこの投稿の目的ではないので詳しい説明は省略しますが、メールヘッダーの分析技術を知らない素人もGoogleで「email header analyzer」などを検索するとウェブですぐヘッダーを探すhttps://mxtoolbox.com/のようなサイトが多いです。次の画像はメールヘッダー分析システムで調べたヘッダーの内容です。スパムメールのブロックソリューションをパイバスした攻撃メールのヘッダー情報ヘッダーの内容の中でX-Originating-IPという項目には、メールを作成した人のIPアドレスが記されます。つまり、もしハッカーがこのメールを送ったとしたら、ハッカーがメール送信ボタンを押したPCのIPアドレスであろうと推測できます。 IPインテリジェンスで分析したスパムメール攻撃のIPアドレス Criminal

By Criminal IP|2022-10-11T18:52:47+09:002022-10-11|Tags: スパムメール, フィッシング, VPN|0 Comments

CIP Weekly Blacklist：9月3週目フィッシングおよび悪性ドメインの検索語

2022年9月3週目Criminal IPで検知されたフィッシングおよび悪性ドメインの検索語 CIP Weekly Blacklist - Phishing or Malicious URL * リンクをクリックすると、CIP検索結果ページへ移動します。 Office365のフィッシングサイト hxxps://file-shared-cloud[.]lepoyanecalt[.]workers[.]dev/ Netflix Inc[.]のフィッシングサイト hxxp://laiserhillacademy[.]com/wp-content/onn/aaa5def453b9de3c49f84c1bf00b8ce5/N/login Outlookのフィッシングサイト hxxps://clouddoc-authorize[.]firebaseapp[.]com/xxxx

By Criminal IP|2022-09-20T18:53:30+09:002022-09-20|Tags: フィッシング, CIP Blacklist|0 Comments

CIP Weekly Blacklist：9月2週目フィッシングおよび悪性ドメインの検索語

2022年9月2週目Criminal IPで検知されたフィッシングおよび悪性ドメインの検索語 CIP Weekly Blacklist - Phishing or Malicious URL * リンクをクリックすると、CIP検索結果ページへ移動します。 Adobeのフィッシングサイト hxxps://adobe-sign-login[.]web[.]app/ Beautiful and Spacious Apartmentのフィッシングサイト hxxp://www[.]airbnb[.]74852personal-register948502[.]net/rooms/BO708197

By Criminal IP|2022-09-16T14:50:38+09:002022-09-14|Tags: フィッシング, CIP Weekly Blacklist|0 Comments

[Criminal IP v1.2.5] 2022-08-25 リリースノート

Criminal IP v1.2.5 定期点検及びアップデートが行われました。 [ Criminal IP v1.2.5 ] 定期点検及びアップデートのリリースノート定期点検及びアップデートの日時：2022.08.25 06:00~08:00 AM（UTC） [New Change] ドメイン検索の検索結果サマリーで"フィッシングURLの確率"のフィッシング検知機能を追加 IT資産検索でIPアドレスまたは、キーワード検索の際、title・status項目の結果にフィルター関連の検索リンクのポップアップを追加 [Improvement] ドメイン検索を行う際、結果が存在しない画面のUI・UXを改善 IT資産検索で検索したキーワード・フィルタークエリー出力に対するUI・UXを改善

By Criminal IP|2022-08-25T18:52:28+09:002022-08-25|Tags: ドメイン, フィッシング, リリースノート|0 Comments

インスタフィッシング詐欺：悪性リンクを確認する方

インスタフィッシング詐欺やアカウントのハッキングの問題は世界中のインスタグラムビジネスアカウントの持ち主を含め、全てのユーザーを対象により深刻になっています。ハッカーはどんどん巧妙で徹底な手法でユーザーを欺き、アカウントをハッキングしています。インスタフィッシング詐欺とは？知られているインスタグラムフィッシング手法の中で、最もよく使われる手法はフィッシングメールに添付されている偽のログインページを利用することです。ハッカーは迷惑メールでインスタグラムの知的財産ポリシーの違反事項をユーザーへ知らせます。ハッカーによるインスタグラムフィッシングメールではメールの送信24時間以内に知的財産ポリシー違反に対して疎明するかまたは、投稿を削除しなければならないと明示されています。これは、ユーザーがメールの虚実をチェックせず、フィッシング詐欺に騙される手口の一つです。ユーザーは著作物の侵害を犯してないことを証明するために、ハッカーが送った迷惑メールのアカウント認証URLをクリックし、自分のアカウント情報を入力します。このように、インスタグラムフィッシングメール攻撃でアカウントが奪い取られてしまうのです。知られているもう一つのハッキングの手口は有名なアカウントまたは、認証されたビジネスアカウントへ与えられるプロフィールの認証バッジを悪用する手法です。インスタグラムはインフルエンサー、ビジネスアカウントに青色のプロフィール認証バッジを与えます。ハッカーはこの特性を悪用して一般アカウントのユーザーに「認証バッジの付与を検討しておりますので、案内されたページでログインし、アカウントの所有者であることを認証してバッジをお申し込んでください。」のように要求します。むろん、案内されたページはハッカーによる偽造された偽のインスタグラムフィッシングURLであり、アカウントとパスワードを入力する際、アカウントが奪い取られます。ハッカーが利用するインスタフィッシング詐欺の悪性リンクを見つける Criminal IPのアセット検索（https://www.criminalip.io/ja/asset）でインスタグラムの本当のログインページを偽造したフィッシングページを見つける方法は次のようです。実際のインスタグラムのログインページ Titleを調べてみると、"Login・Instagram"という文字列を使っていることがわかります。実際のインスタグラムのログインページのタイトル、Login・Instagramの文字列になっているハッカーはできる限り、本物のインスタグラムのログインページに似たページを作り出した可能性が高いです。アセット検索でTitleフィルターを利用して"title:Login Instagram"クエリーを検索してみると、下のように本物のInstagramログインページのサーバーと怪しい結果が一緒に出てきます。 https://www.criminalip.io/ja/asset/search?query=title%3ALogin+Instagram 合計87台のサーバーが検索されました。この中には、ハッカーが利用する偽造されたログインページが含まれています。

By Criminal IP|2022-10-04T14:59:23+09:002022-08-18|Tags: ドメイン, フィッシング, フィッシング詐欺, 悪性リンク|0 Comments

Criminal IP ドメイン検索を利用する怪しいドメインの点検

過去から、攻撃者は有名サイトと同様のフィッシングサイトを作り、メール、SMS、掲示板などの手段で個人情報、金融情報を奪取する悪意のある手法を使てきました。 Verizonの‘21データ侵害調査報告書’によると、侵害の36％がフィッシングに関わっていると発表しました。すなわち、フィッシングの手法が侵害事故でどれだけの割合を占めているかを知らせる指標として使えます。誰でも経験できる一般的なフィッシングの試みは次の例のようです。有名または評判の良い会社に似た発信地の使用 Webブラウザのアドレスバーに正常な署名ブロックがありません誤った文法、文、スペルミス、一貫性のない形式の内容ファイルダウンロード、リンククリックなどを緊急、重要性という表現で強要する AI Speraは、フィッシングサイトを分析し、正常か悪意のあるDomainかを判断して被害を最小限に抑えるCriminal IP（CIP）ドメイン検索を提供します。CIPを利用することで、セキュリティ担当者の技術や知識レベルに関係なく、フィッシングサイトを迅速かつ正確に分析できます。セキュリティ担当者であれば、役員から下記のような異常メッセージを受信したという届を受けた経験があるはずです。報告を受けた後に、これ以上ダメージが発生しないように、そのドメインをすばやくブロックし、詳細な分析でフォローアップする必要があります。フィッシングサイトを含むメッセージドメイン検索で疑わしいドメインを分析した結果、ドメインスコアリングがCriticalレベルであることが確認されました。分析Summaryで、不審な長さを見ると、30以上の長さを持っていることが分かり、マルウェアの感染によく使われるiframeタグが存在することが確認できます。また、Title、Favicon、スクリーンショット、Inserted、Redirect toの経路が通常のfacebookと異なることから見て、そのドメインは明らかなフィッシングサイトです。 AI Speraは、ドメイン検索を利用するセキュリティ担当者にフィッシングサイトの分析結果をより明確に理解させるため、Summary属性の説明を下表のように提供しています。

By Criminal IP|2023-05-25T20:20:58+09:002022-03-04|Tags: AI Spera, ドメイン検索, フィッシング, フィッシングサイト, Criminal IP, Domain, 悪用リンク, 悪用URL|0 Comments