フィッシング詐欺師は、セキュリティ機能の回避方法と詐欺に遭わないよう学習したユーザーを騙すための新しい方法を常に探しています。簡単なフィッシング詐欺の手法として長年行われてきたのは、電子メールの本文に必要な情報を入力する方法です。
フィッシング詐欺が目新しく、ほとんどの人がフィッシング詐欺というものについて意味を知らなかった頃はこれでもフィッシング詐欺の方法として機能していました。
その後、スパムフィルタがこのようなフィッシング詐欺のメールを認識しはじめ、電子メール内の直リンク機能の進化、そして暗号化されたリンクへの進化によりEメールはプロフェッショナル仕様のものとなり、組織のオフィシャルなツールとして成立するようになり、フィッシング詐欺師はその情報を切実に狙っています。
1つ変わっていないのは、フィッシング詐欺のメールで使用される言語です。
ほとんどの場合、文脈や文法的に正しい内容ではありません。ですが、遅かれ早かれ、スパムフィルタやまたはマルウェア対策製品によって、あるいは、GoogleのセーフブラウジングやMicrosoftのSmart ScreenのようなURLスキームにブロックされます。
しかし、まだこれらのフィッシング詐欺者の犠牲になっているケースがあまりにも多いです。これが起こる理由として1つ注目すべき点についてはこのブログで後述します。
電子メールには、拡張子 "htm"または "html"で添付ファイルが添付されています。
ところで、なぜフィッシング詐欺者はリンクよりHTMLコードの添付ファイルを使うのでしょうか?これにはいくつかの理由があります。
1 ローカルでHTMLコードを実行すると、ローカルブラウザがウェブサイトに行く必要はありませんので、URLレピュテーションフィルタが適用されません。
2 ローカルでHTMLコードをブラウザで実行すると、イントラネットからではなく、インターネットからロードされています。イントラネットから起動/ロードされたファイルの設定は、通常、インターネット上のファイルよりセキュリティが厳しくなくなります。
一部のアプリケーション、保護メカニズムを持つMicrosoft Office 2010など特定のファイルでは、添付ファイルとして直接実行またはロードされるときにはアクティブコンテンツが無効になっている保護されたビューの環境でのみファイルをロードします。
この特定のフィッシング詐欺の手法を調査すると、ウィンドウが適切に明示されていないという事実のほかに、文法は完璧にはほど遠いです。PayPalは、受信者を"Dear Paypal Member"と記述していますが、本物のPaypal(少なくとも、Paypal以外の正当な金融機関)は顧客名もしくはプロバイダと顧客双方が把握している特定の識別子宛てにします。
興味深いのは、この電子メールはPaypalフランスから来ているとのことなのですが、メッセージは英語です。
これは顧客情報を持っていて、その情報を確認したいということを意味します。添付ファイルをダブルクリックすると、警告が発生します。
PaypalではEメールを保存するよう指示されたローカルディレクトリでEメールの確認をすることをすでに始めています。利便性のため、主にデスクトップで実行したり、ロードします。
しかし、ファイルがローカルシステムから実行するか、またはロードされると、メールプログラムによって提供されたセーフティネットは無視されます。
このフィッシングの手法により、おそらくはフィッシング詐欺師がすでに持っていて確認したい情報を使用したWebページが表示されます。
興味深いことに、彼らはまだ顧客情報を持っていないようです。
さらに注目すべき点は、情報を送信するボタンがあることです。電子メールはおそらくPayPalのフランスから来ていて、テキストや情報はすべて英語で、送信ボタンはドイツ語のテキストです。
情報が送信されたときに、情報を入力したフォームはphp-scriptを使用して情報取得されたウェブサイトに接続します。それが終了すると、ユーザーは興味深い他国言語のフィッシング詐欺の結果として、PayPalのアメリカのホームページに転送されます。
では、なぜ人々はまだフィッシング詐欺の被害に遭うのでしょうか?
その答えは、「教育不足」です! ほとんどの人にとって、フィッシング詐欺はまったく新しい問題です。
フィッシング詐欺に遭う情報を銀行情報に限定する場合、我々は人々がどんどんオンラインでの銀行サービスを利用していることを知っています。便宜上か、古い手数料の請求の仕方に後押しされているのか、または銀行が昔ながらの手続きを行わなくなったからか、高齢者の多くは突然オンライン化に対応せざるを得なくなり、フィッシング攻撃に気づいていないのです。
銀行が電話またはその他の方法、ウェブサイト上、電子メールで情報を求めることは絶対にないことについて堅固なドキュメントを作成するのは良いことです。2012年、フィッシング詐欺はより増加する見込みであり、新しいオンラインの顧客を教育することは銀行自身の利益でもあります。
ESETの研究者がフィッシング詐欺についてかなりの数のドキュメントを作成し、それらのいくつかは効果がありしばらくの間フィッシング詐欺が回避されている一方で、フィッシングメールを見分ける方法の基本原則とアドバイスはまだ検討段階にあります。
A Pretty Kettle of Phish by David Harley and Andrew Lee
フィッシングやその他のインターネット詐欺師を理解し、注目を避ける。
The Spam-ish Inquisition by David Harley and Andrew Lee
スパム、詐欺および関連被害の詳細な概要、およびそれらに対処するためのいくつかの方法
Phish Phodder: Is User Education Helping or Hindering by David Harley and Andrew Lee
フィッシング攻撃への感受性に関する研究を評価し、フィッシングクイズなどWebベースの教育資源を調査しています。フィッシング詐欺の被害に遭った機関やセキュリティベンダーは、パソコンユーザーが自助する文化を促進しているでしょうか?
このトピックにたくさんブログ記事を掲載しています。
出典:blog.eset.com