Darcula フィッシング キット
「Darcula」として知られるフィッシング サービス (PaaS) が新たに登場しました。これは、20,000 ものドメインを利用して評判の良いブランドを模倣し、主に 100 か国以上の Android および iPhone ユーザーからログイン認証情報を盗みます。この高度なツールは、郵便、金融、政府、税務部門、通信会社、航空会社、公共事業会社など、さまざまなサービスや組織に対して使用されています。200 を超えるテンプレートの豊富な武器を誇り、詐欺師はさまざまな選択肢から詐欺キャンペーンをカスタマイズできます。
Darcula の特徴は、フィッシング メッセージを拡散するために従来の SMS に頼るのではなく、Google メッセージや iMessage などのプラットフォームのリッチ コミュニケーション サービス (RCS) プロトコルを戦略的に活用していることです。このアプローチは、RCS の強化された機能を活用して攻撃の有効性を高め、フィッシング攻撃の成功率を高める可能性があります。
目次
Darculaフィッシングプラットフォームがサイバー犯罪者の間で人気を集めている
研究者は、Darcula フィッシング プラットフォームの人気が高まるにつれて、サイバー犯罪の分野で増加傾向にあることを観察しています。このプラットフォームは、過去 1 年間に多数の有名なフィッシング攻撃に関与しており、英国の Apple および Android デバイスのユーザーをターゲットにしたり、米国郵政公社 (USPS) になりすました小包詐欺を組織したりしています。従来のフィッシング手法とは対照的に、Darcula は JavaScript、React、Docker、Harbor などの最新テクノロジーを活用し、クライアントがフィッシング キットを再インストールしなくても、継続的な更新と新機能のシームレスな統合を容易にしています。
Darcula が提供するフィッシング キットは、100 か国以上のブランドや組織になりすますように設計された 200 種類のテンプレートのコレクションで構成されています。これらのテンプレートには、正確な言語、ロゴ、コンテンツでローカライズされた高品質のランディング ページが含まれています。
フィッシング キャンペーンをセットアップするために、詐欺師はなりすましの対象となるブランドを選択し、セットアップ スクリプトを実行します。これにより、対応するフィッシング サイトとその管理ダッシュボードが Docker 環境に直接インストールされます。このシステムでは、Docker イメージをホストするためにオープン ソースのコンテナー レジストリ Harbor が採用されていますが、フィッシング サイト自体は React を使用して開発されています。
研究者によると、Darcula のサービスは通常、「.top」や「.com」などのトップレベル ドメインを使用して、フィッシング攻撃用に特別に登録されたドメインをホストします。これらのドメインの約 3 分の 1 は、広く使用されているコンテンツ配信ネットワークおよびインターネット セキュリティ企業である Cloudflare によってサポートされています。
Darcula は既存のフィッシング チャネルや手法から脱却
Darcula は、Android 向けのリッチ コミュニケーション サービス (RCS) と iOS 向けの iMessage を活用して、フィッシング URL へのリンクを含むメッセージを被害者に送信することで、従来の SMS ベースの戦術を打破します。このアプローチにはいくつかの利点があります。受信者は、SMS では利用できない RCS と iMessage に固有の追加のセキュリティ対策を信頼し、そのような通信を本物であると認識する傾向が強いためです。さらに、RCS と iMessage でサポートされているエンドツーエンドの暗号化により、コンテンツに基づいてフィッシング メッセージを傍受してブロックすることは不可能になります。
疑わしいメッセージをブロックすることで SMS ベースのサイバー犯罪に対抗することを目的とした、世界規模の最近の立法努力により、フィッシング サービス (PaaS) プラットフォームは RCS や iMessage などの代替プロトコルを検討するよう促される可能性があります。ただし、これらのプロトコルには、サイバー犯罪者が対処しなければならない独自の課題が伴います。
たとえば、Apple は大量のメッセージを複数の受信者に送信するアカウントに制限を課しています。同時に、Google は最近、ルート化された Android デバイスが RCS メッセージを送受信できないようにする制限を導入しました。サイバー犯罪者は、多数の Apple ID を作成し、デバイス ファームを利用して各デバイスから少数のメッセージを送信することで、これらの制限を回避しようとします。
さらに厄介な障害は、受信者がメッセージに返信した後にのみ URL リンクをクリックできる iMessage の安全策にあります。この対策を回避するために、フィッシング メッセージでは、受信者に「Y」または「1」で返信してからメッセージを再度開いてリンクにアクセスするよう促します。この追加手順によって摩擦が生じ、フィッシング攻撃の有効性が低下する可能性があります。
フィッシングや疑わしいメッセージを見分けるには?
URL をクリックするように促すメッセージが届いた場合、特に送信者が知らない人である場合は、ユーザーは慎重に対応することが重要です。フィッシングの脅威アクターは、さまざまなプラットフォームやアプリケーションで新しい配信方法を絶えず開発しているため、ユーザーは警戒を怠らないことが不可欠です。研究者は、フィッシングの手口でよく使われる手法である文法の誤り、スペルミス、過度に魅力的なオファー、即時の対応の要求などの兆候に注意するようユーザーにアドバイスしています。
