新しいphishing-as-a-service（PhaaS）キャンペーン「Darcula」が、iMessageユーザーを標的にしています。

このキャンペーンでは、20,000ものドメインを利用して、ブランドを偽装し、無防備なユーザーから認証情報を盗み取ります。すでに、航空会社から公共事業に至るまで、100か国以上の様々な分野のユーザーが被害に遭っています。

200のテンプレートを提供する高度なフィッシングキット

Darculaのフィッシングキットは非常に高度で、攻撃者に200の高品質なフィッシングテンプレートへのアクセスを提供します。これらのテンプレートは、標的となる企業のブランディングを正確に模倣しています。

これらの説得力のあるランディングページにより、ユーザーは正規のWebサイトと悪意のあるWebサイトを区別することが難しくなり、フィッシング攻撃の成功率が高くなります。

iMessageとRich Communication Services（RCS）の悪用

このキャンペーンの特徴の1つは、フィッシングメッセージの配信にiMessageとRich Communication Services（RCS）を利用していることです。従来のSMSの代わりにこれらのプラットフォームを利用することで、攻撃者はSMSファイアウォールをバイパスし、不審なメッセージの検知を回避することができます。

Appleのセキュリティ企業Jamfのポートフォリオ戦略担当バイスプレジデントであるMichael Covington氏は、このアプローチに驚きはないと指摘しています。RCSはユーザーに広く信頼されているため、ハッカーにとって魅力的な攻撃ベクトルになっていると指摘しています。

RCSのメリットとリスク

RCSは従来のSMSと比較していくつかの利点があります。

• 1回の送信で多くの文字数をサポート
• 開封確認、タイピングインジケータ、高解像度メディアなどの最新の機能強化
• より安全でプライベートなメッセージング体験のためのエンドツーエンドの暗号化

しかし、攻撃者がiMessageやWhatsAppなどの最新のメッセージングプラットフォームを悪用してフィッシングキャンペーンを展開するにつれ、RCSも攻撃対象のリストに追加されました。ユーザーがこれらの暗号化されたサービスに置く固有の信頼性が、ソーシャルエンジニアリング攻撃に対して特に脆弱になっています。

フィッシング攻撃に対する警戒を怠らない

使用しているメッセージングプロトコルやサービスに関係なく、ユーザーは警戒を怠らず、潜在的なソーシャルエンジニアリング攻撃を見抜く準備をしておく必要があります。ハッカーが絶えず技術を進化させ、Darculaのようなフィッシングサービスの進歩を見ると、何も制限がないことは明らかです。

ユーザーは、認証情報などの機密情報を共有する前に、送信者、メッセージ内で使用されているブランド名、メッセージングプロトコル自体を疑問に思い、検証する必要があります。情報に通じ、注意を怠らないことで、ユーザーはますます高度化するフィッシングキャンペーンから身を守ることができます。

ユーザー教育と意識向上の重要性

フィッシング攻撃がより複雑になり、標的を絞ったものになるにつれ、組織がユーザー教育と意識向上を優先することが重要になります。定期的なトレーニングセッションと模擬フィッシング演習を行うことで、従業員は不審なメッセージを認識し、報告することができるようになり、フィッシング攻撃の成功率を下げることができます。

さらに、多要素認証などのセキュリティ対策を実施することで、ユーザーがうっかりフィッシング詐欺の被害に遭った場合でも、追加の保護層を提供することができます。

(Via Apple World Today.)