今月初め、Vadeの専門家は、2024年に見出しを独占すると思われる最大のメール脅威についての予測を共有しました。その中には、引き続き「サービスとしてのフィッシング(PhaaS)」の台頭が見られました。この脅威は、料金を支払う意思のある人に、洗練されたフィッシングキット(詐欺手法の略でScamaとも呼ばれます)を販売する悪質なビジネスモデルです。
Scama(スキャマ)とは?
Scamaは、フィッシングキット、つまりパッケージ化され、Telegramなどのプラットフォーム経由でハッカーに販売される悪意のあるアセットのコレクションを指す用語です。フィッシングキットには、サイバー犯罪者がフィッシングキャンペーンを開始するために必要なものがすべて組み込まれており、正当なブランドやサービスになりすました悪意のあるメールテンプレートや Webページが含まれている場合があります。
Scamaはパックで販売されており、ハッカーが独自のPhaaSプラットフォームをセットアップするために必要なすべての悪意のあるアセットが含まれています。これらのパックは、多くの場合、主にアジア太平洋(APAC)地域で、比較的知名度の高いWebホスティングプラットフォームでホストされています。ヨーロッパやその他の地域のホスティングソリューションとは異なり、中国やインドネシアなど、APACの一部の国ではデータ保護の規制や国際協力が優先されていません。これらの地域は、ハッカーが不正な活動を行うのに有利な環境を提供します。
以下は、Telegramの公開グループで販売されているScamaパックの例です。これらの例を見ると、サイバー犯罪者が他の正当なビジネスと同様に、悪意のある製品の機能と利点を列挙して自社の製品やサービスを宣伝していることがわかります。これらは、「アンチボット対策」から「対応型」設計、有効性の証明などに及びます。
フランスのCrit’AirのScama
フランスの年金保険のScama
ドイツの銀行のScama
NetflixドバイのScama
他のアセットの中でも、Scamaパックには、スキャムページ(詐欺ページまたは悪意のあるWebページ)、メーラー、チェッカーが組み込まれており、これらはすべてWebホスティングソリューション経由で使用できます。スキャムページは被害者の機密情報を収集するように作られていますが、メーラーはフィッシングメールやSMSを送信し、チェッカーは被害者の電話番号やメールアドレスがブラックリストに掲載されていないことを確認します。これらのツールのおかげで、最初から最後までフィッシングキャンペーンを容易に実行できます。
一部のScamaパックでは、ハッカーは「SMSスパムスロット」や「SMSスパムアプリ」を販売しています。これらのツールはメーラーとして機能し、ハッカーはこの機能を使って、スキャムページへのトラフィックを生成できる悪意のあるSMSを大量に送信できます。
SMSスパムツールの広告
WebホスティングソリューションはWeb メールを提供するため、ハッカーはSMTPサーバーをセットアップすることもできます。そのため、このソリューションは、ハッカーが悪意のあるキャンペーンを使用したり管理したりするための理想的なプラットフォームになっています。
多くの偽再販業者が存在するフランスを含め、一般的または公に入手可能なScamaパックのほとんどはすでに廃れています。ハッカーは、検出をすり抜け、世界中のあらゆる地域に適応できる新しいフィッシングキットの革新と導入を続けています。新しいキットが発表されるグループやチャットにすでに参加していない限り、オンラインで簡単に見つけられるキットはすでに時代遅れになっている可能性が高いです。このことは、脅威がすぐに特定されなくてもユーザーを保護できる、適応性のあるメールセキュリティツールの必要性を浮き彫りにしています。
Scama攻撃の仕組み
Scama攻撃は最初の連絡から始まり、被害者はフィッシングメールやSMS(スミッシングとも呼ばれます)を受信します。被害者がメールに組み込まれた悪意のあるリンクをクリックしたりタップしたりすると、Scamaパックに組み込まれたスキャムページにリダイレクトされます。
以下は、Netflixになりすましたスミッシングテキストによる最初の連絡の一例です。このメールは、標的にした被害者に対し、ドメイン「bedy13.com」を指す悪意のあるリンクを使ってメンバーシップを更新するよう促します。
Netflix になりすましたスミッシングテキスト
このような悪意のあるキャンペーンを成功させるには、スキャムページにボット対策メカニズムが備わっていなければなりません。これはハッカーにとって非常に重要な機能です。
フィッシングキットでは、人間の行動を模倣して、自動ボット検出システムをすり抜けるようにアンチボットメカニズムが設計されています。これらのメカニズムはランダムな遅延を起こし、さまざまなユーザーエージェントを模倣し、マウスの動きをシミュレートして、フィッシングページをクリックします。これにより、セキュリティシステムが正当なユーザーと攻撃者を区別しにくくなり、フィッシング攻撃が検出されないまま進行する可能性があります。
スキャムページには、被害者の名前、住所、クレジットカード番号、アカウント認証情報などの個人情報を収集するための悪意のあるフィールドも組み込まれています。
被害者がフィッシングページに情報を入力すると、その情報は自動的に攻撃者に送信され、攻撃者はTelegram、Discord、さらには自動メールサービスのボットを通じて情報を取得できます。
Telegramグループから送信されたアナウンスの例
ハッカーは被害者の情報にアクセスすると、その情報をフォーラムやTelegramグループで販売するなど、さまざまな不正行為を行う可能性があります。また、それに続いて比較的新しい詐欺を実行する可能性もあります。フランスでは、このようなスキームを「Allô(アロー)」と呼びます。
Allôでは、銀行の詐欺対策エージェントになりすました人物から被害者に電話をかけます。発信者はスクリプトに従って、銀行が、被害者の口座でフィッシングによる不審な取引を検出したことを被害者に警告します。偽の詐欺対策エージェントは被害者に機密情報の確認を求め、悪意のある取引をキャンセルすると主張します。その一方で、その発信者は被害者のクレジットカードをApple Payウォレットに追加したり、オンライン購入に使用したりすることがよくあります。
一部のscamaパックでは、詐欺専門の担当者がハッカーに代わって電話をかけるこの電話サービスを提供しています。
この電話詐欺が失敗した場合でも、ハッカーは、特定の金額(たいてい500ユーロ)未満の取引では認証を必要としないWebサイトでそのクレジットカードを簡単に使用できます。
詐欺師は、詐欺の際に電話番号を隠すために、発信者のIDスプーフィング、VoIPサービス、匿名のSIMカード、仮想番号など、さまざまな手法を用います。多くの場合、彼らは事前に録音された通話を記録し、国際中継ネットワークを利用して位置をわかりにくくします。
Scamaの買い手と売り手の邪悪な関係
Scama作成者には、悪意のある顧客にサービスを提供する動機がある一方で、彼らを騙す動機もあります。Scamaの販売者は、パックに悪意のあるコードを埋め込んで顧客を悪用しようとすることがよくあります。このよくある悪用行為対策として、ハッカーを保護し、フィッシングページを保護できるようにするRezStealerFinderのようなツールが登場しました。
RezStealerFinderは、Webページ内の悪意のあるコンテンツを検出し、脆弱な、場合によっては難読化されたコードや、Scamaパックに存在しうる未知のリンクをスキャンします。このツールは、悪意のあるScama販売者が使用する可能性のある隠されたコードを見つけるのに効果的です。
ユーザフレンドリーで、さまざまなスキルレベルのハッカーを対象に設計されたRezStealerFinderは、以下の例のように、Telegramグループで購入できます。
Telegramで販売されているRezStealerFinderアプリ
Scama:繁栄する脅威
Scamaは新しい脅威ではありませんが、その市場は引き続き好調です。簡単な料金を支払うだけで、Scamaパックを使って、誰でも高度な攻撃を実行できるハッカーになれます。Scamaは、参入障壁を下げることで脅威の展望を拡大しただけでなく、既存のハッカーの生産性を以前よりも向上させました。
Scamaは、フィッシングの数量が歴史的なレベルに達した主な原因です。2023年の最初の3四半期に、Vadeはこれまで記録されているどの年間合計をも上回るフィッシングメール数量を検出しました。
2019年‐2023年第3四半期にVadeが検出したフィッシングの数量
Scama脅威に対抗するために、Vadeはメールセキュリティをアップグレードし、フィッシング認識トレーニングを導入することを組織に奨励しています。
