保険会社を狙ったOffice 365を利用したフィッシング詐欺の手口について

ニュース

PowerDMARCのセキュリティアナリストは、中東の大手保険会社を標的としたフィッシングメールの新風を発見しました。

byアホナ・ルドラ

読書時間 4
保険会社を狙ったOffice 365を利用したフィッシング詐欺の手口について
目次-

サイバー犯罪者が攻撃開始時に最初に選択するのは電子メールであることが多い。処理能力の高いブルートフォース攻撃や、高度なスキルを必要とする洗練された手法とは異なり、ドメインスプーフィングは、他人のふりをしてメールを書くだけで、簡単にできてしまいます。多くの場合、その「他の誰か」とは、人々が仕事をするために依存している主要なソフトウェア・サービス・プラットフォームである。

2020年4月15日から30日にかけて、PowerDMARCのセキュリティ・アナリストが中東の大手保険会社を狙った新たなフィッシング・メールを発見した。この攻撃は、Covid-19危機の間に最近増加したフィッシングやなりすましのケースのほんの一つに過ぎない。早くも2020年2月には、世界保健機関(WHO)になりすまし、コロナウイルス救済のための寄付を求めるメールを数千人に送りつけるという大規模なフィッシング詐欺も発生している。

 

主なポイント

  1. 電子メールのなりすましは、サイバー犯罪者にとって悪用しやすい手法であり、信頼できる組織を標的にすることが多い。
  2. 最近のフィッシング攻撃は、評判の良いサービスになりすまし、それらのプラットフォームに対するユーザーの信頼につけ込んでいる。
  3. フィッシング・メールは、日常的で合法的なものに見えるため、ユーザーが詐欺メールと見破るのは難しい。
  4. DMARCのようなドメイン・ベースの認証メカニズムは、電子メールのなりすましやフィッシング攻撃から保護するために不可欠です。
  5. 組織は、信頼を維持し、サイバー脅威から評判を守るために、電子メールのセキュリティを優先しなければならない。

最近の一連の事件では、マイクロソフト社のOffice 365サービスのユーザーが、ユーザーアカウントのステータスに関する定期的な更新メールと思われるものを受け取りました。これらのメールは、組織独自のドメインから送信されており、パスワードのリセットや保留中の通知を表示するためのリンクのクリックをユーザーに要求していました。

私たちが観察した、使用されているメールタイトルの一部をまとめました。

  • Microsoftアカウントの異常なサインイン活動
  • あなたの e-Mail [email protected]* Portal には、配信待ちのメッセージが 3 件あります。
  • user@domain 保留中のMicrosoft Office UNSYNCメッセージがあります。
  • リ・アクティベーション・サマリー通知 [email protected]

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

ユーザーのプライバシーのために、アカウントの詳細は変更されています。

また、保険会社に送信されたなりすましメールに使用されているメールヘッダーのサンプルもご覧いただけます。

Received: from [malicious_ip] (helo=malicious_domain)

id 1jK7RC-000uju-6x

for [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Received: from [xxxx] (port=58502 helo=xxxxx)

によるマリシャスドメインesmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-gcm-sha384:256)

からです。"マイクロソフトアカウントチーム" 

宛先 [email protected]

件名マイクロソフトオフィスのお知らせ [email protected] on 4/1/2020 23:46

日付:2020年4月2日 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″ (日本語)

Content-Transfer-Encoding: quoted-printable

X-AntiAbuseこのヘッダは不正行為を追跡するために追加されたもので、不正行為の報告にはこのヘッダを含めてください。

X-AntiAbuseプライマリホスト名 - malicious_domain

X-AntiAbuse:オリジナルのドメイン - domain.com

X-AntiAbuse:オリジネーター/コーラーのUID/GID - [47 12] / [47 12] 。

X-AntiAbuse送信者アドレス ドメイン - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@malicious_domain

X-Authenticated-Sender: malicious_domain: admin@malicious_domain

X-Sourceです。 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain.comのドメインが指定されていない) malicious_ip_address を許可された送信者として指定していない) client-ip=malicious_ip_address ; エンベロープ-from=[email protected]; helo=malicious_domain;

X-SPF-Result: domain.comのドメインが指定されていません。 悪質なIPアドレス を許可された送信者として指定していません。

X-Sender-WarningリバースDNSルックアップが 悪意のあるIPアドレス と表示されました(失敗)。

X-DKIM-Status: none / / ドメイン.com / / /

X-DKIM-Status: pass / / マリシャスドメイン / malicious_domain/ / デフォルト

 

当社のセキュリティオペレーションセンターは、メールのリンク先を追跡したところ、Microsoft Office 365のユーザーを対象としたフィッシングURLであることがわかりました。このURLは、世界のさまざまな場所にある危険なサイトにリダイレクトされていました。

これらのメールのタイトルを見ただけでは、組織のドメインを詐称して送信されたものだとはわからないでしょう。私たちは、Office 365のようなオンラインサービスへのサインインを促す、仕事やアカウントに関連したメールを継続的に受け取ることに慣れています。ドメイン偽装は、そのような状況を利用して、偽の悪質なメールを本物のメールと見分けがつかないようにします。信頼できる送信元からのメールであるかどうかは、そのメールを徹底的に分析しない限り、事実上知ることはできません。しかし、毎日何十通ものメールが送られてくる中で、すべてのメールを精査する時間はありません。唯一の解決策は、あなたのドメインから送信されたすべてのメールをチェックし、認証されていない誰かが送ったメールだけをブロックするような認証メカニズムを採用することです。

その認証メカニズムはDMARCと呼ばれています。世界有数のメールセキュリティソリューションのプロバイダーとして、私たちPowerDMARCは、組織のドメインを保護することの重要性を理解していただくことを使命としています。自分自身のためだけでなく、安全で信頼できるEメールを毎回受信トレイに届けることを信頼し、頼りにしているすべての人のためです。

なりすましのリスクについては、こちらをご覧ください: https://powerdmarc.com/stop-email-spoofing/

なりすましからドメインを保護し、ブランド力を高める方法については、こちらをご覧ください: https://powerdmarc.com/what-is-dmarc/

最新記事 by Ahona Rudra(全て見る)
PowerDMARC、CyberSecOnと提携し、オーストラリア、ニュー...サイバーコンアリ・サキブPowerDMARC、Saqib Ali博士を新たなアドバイザリーボードメンバーとして迎える