Bank of Americaがフィッシング攻撃のなりすまし最多銀行リストをリードする

Adrien Gendre

4月 16 2020

0 分で読める

「Phishers' Favorites 2019年を振り返る」によれば、 Bank of Americaのフィッシング数は2019年に34パーセント増加しました。Bank of Americaのフィッシングは、地方銀行のなりすましフィッシング攻撃の驚くべき増加と同時に急増しました。かつては利益の少ない標的とみなされていた地方銀行が、世界中の中小企業と同様にサイバー攻撃の標的にされるようになりました。大企業よりもリソースが少ないために、中小企業は現在最大の標的になっています。

Bank of Americaのフィッシング

Bank of Americaのフィッシング

Vadeは、Bank of Americaになりました固有のフィッシングURLの検出数は、2018年の14,771件から増加して、2019年は合計で19,800件になりました。セキュリティ警告は、金融サービスのフィッシング攻撃において最もよく使われる詐欺の手口です。Bank of Americaのフィッシングメールも例外ではありません。どんなアカウント警告であれ、ユーザーに不安を抱かせるに違いありませんが、金融機関からの警告は特にユーザーを大きな不安に陥れるため、クリックする可能性が非常に高くなります。

以下の例で、Bank of Americaのフィッシングメールは、新しいデバイスが自分の銀行口座番号で使われたことを被害者に警告しています。巧みな言いまわしで、新しいデバイスを確かに登録したのならば警告を無視するように丁寧に伝えるメッセージをユーザーは受け取ります。

Bank of Americaのフィッシング

このフィッシングメールの前半にはフィッシングリンクは現れません。これはハッカーによるもう一つの巧妙な手口です。フィッシングリンクは、ユーザーが十分にメールの内容に納得した後に現れるように、メールの後半に載せられています。

Bank of Americaのフィッシング

フィッシングリンクは、平均的なユーザーには見分けのつかないBank of Americaの洗練されたフィッシングページへ受信者を導きます。これもまた平均的なユーザーには気づきにくいことですが、このページがフィッシング攻撃だという明らかな証拠は、正規のブランドのウェブページのフォームとは異なり、フィッシングページのフォームは、Bank of Americaの記録と一致しない可能性のある架空のメールアドレスとパスワード、アカウントとPINコードなどのランダムテキストも容認します。フィッシングページは情報収集のためだけに作られているため、大半のフィッシングページがこのようになっています。それらのフィッシングページは回答の正誤を認識できません。

Bank of Americaのフィッシングページ
Bank of Americaのフィッシングページ

Bank of Americaのフィッシングログインページ
Bank of Americaのフィッシングログインページ

Bank of Americaのフィッシングフォーム
Bank of Americaのフィッシングフォーム

小規模銀行はハッカーの恰好のターゲット

Bank of Americaは、トップ25にランクインしている金融サービス機関10社のうちの1つでした。トップ25には小規模会社が複数含まれており、ハッカーたちが主に大手銀行を標的にしていた前年から方向転換したことがうかがえます。

全体として、金融サービス業界が他のどの業界よりも標的にされており、Vadeによって検出された固有のフィッシングURL全体の37パーセントを占めました。クラウドサービス業界がその後に僅差で続き、MicrosoftとPayPalがクラウドサービスの最大の標的になっています。

MicrosoftとPayPalがクラウドサービスの最大の標的になっています。

最もなりすましの多い銀行のうち、Chaseがランキングで14パーセント以上減少し、その一方で、前回21位にランクインしていたCIBCが2018年のフィッシングURL数から399.5パーセント増加し、第7位にランクインしました。Wells FargoのフィッシングURLが74パーセント以上の著しい減少を見せた一方で、Credit Agricoleは49.4パーセント増加しました。

CIBCやATBと同様、Alberta institutionもフィッシングURL数において317.8パーセントの増加をみせました。

Desjardinsは、数四半期にわたりフィッシングURL数の増加は限定的でしたが、ここにきてランキング順位がはね上がりました。Desjardinsは、47位順位を上げて、2018年のフィッシングURL数から1,680.4パーセント増加し、トップ20中第15位にランクインしました。

Desjardinsのフィッシング数の増加は、2019年にDesjardinsの従業員が290万件以上のデータを漏洩させた重大なデータ漏洩事件後に始まりました。世間の注目を集めるデータ漏洩は、一種の季節的なメール攻撃や世間から注目されるイベントに関連づけたイベントベースのメール攻撃などのフィッシング攻撃を拡散させるきっかけとなります。

地方銀行への攻撃の流れは、中小企業へのサイバー攻撃の世界的な増加に追随しています。2019年は、よくある大企業に対する攻撃とは異なるビジネスを狙った攻撃が頻発しました。政府機関への攻撃もその一つで、直接的にしかけられるものもあれば、MSPを介して行われるものもありました。それらの攻撃の成功により、2020年もその傾向が続く可能性が高まります。特にCOVID-19(新型コロナウィルス感染症)の世界的なパンデミックによる中小企業の経営状態を考慮した不安を煽るようなシナリオが使われることでしょう。

Phishers' Favorites 2019年を振り返る

「Phishers' Favorites 2019年を振り返る」では、フィッシング攻撃のなりすましブランドトップ20を調査し、2019年を特徴づけるフィッシングの傾向と手口を探ります。同報告書を読んで、なりすましのトップに位置づけられるブランドがハッカーに選ばれる理由を詳細に把握し、それらの情報を使って、クライアントや見込み客にフィッシングの危険とメールセキュリティの重要性について教える方法を学びましょう。