Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Messengerを狙った詐欺キャンペーン

日本でも利用者が多いFacebook Messengerを狙った大規模な詐欺キャンペーンが進行中であるとセキュリティ企業のGroup-IBが発表していました。

securityaffairs.co

 

元ソース(Group-IB)

Critical update: Facebook Messenger users hit by scammers in over 80 states (4/20)

 

キタきつねの所感

欧州、アジア、中東、南北アメリカの80か国以上がこの詐欺キャンペーンの対象となった可能性が指摘されています。全世界を狙ったと思われる攻撃は2020年夏から観測されており、偽のプロファイルからMessengerが更新されたとのフィッシング投稿をするものだった様ですが、新しいキャンペーンはもう少し巧妙になっている様ですので、日本のユーザも留意が必要かと思います。

Facebook Messengerの更新を促す宣伝広告を配布することにより、サイバー犯罪者はユーザーのログイン資格情報を収集しました。Group-IBのDRPアナリストは、このスキームで採用されている1,000近くの偽のFacebookプロファイルを発見しました。この種の詐欺が発見されると、Group-IBは、偽の投稿とは関係のないソーシャルネットワークに進行中のキャンペーンを通知しました。

この詐欺が2020年の夏にGroup-IBDRPの注目を集め、アジアとヨーロッパのさまざまな地域に拠点を置くDRPアナリストが同じ不正キャンペーンの痕跡を検出したことは注目に値します。

(Security Affairs記事より引用)※機械翻訳

 

Group-IBは、Facebookでの偽のMessenger更新を勧める投稿が最近増えていると注意を促しています。

4月には、「最新のメッセンジャーアップデート」のインストールをユーザーに勧めるFacebookの投稿数が5,700件に達しました。ユーザーの注意を引くために、詐欺師は実際のアプリを模倣した名前(Messanger、Meseenger、Masssengarなど)でアカウントを登録し、FacebookMes​​sengerの公式ロゴをプロフィール写真として使用しました。

Group-IB記事より引用)※機械翻訳

 

以下、Facebook偽広告の画像をGroup-IB記事より引用しますが、本物のロゴを使い、Facebookらしいプロフィール写真まで使い、ユーザが本物だと誤認識させる事を意識した偽広告になっています。

※一見気づかない方が多いかと思いますが、アカウント名が「誤スペル」になっている(Messengerではなく、Massenger)事も、こうした偽広告を見分けるポイントです。※攻撃者はMessanger、Meseenger、Masssengar等でもアカウント登録した様です。

f:id:foxcafelate:20210421060648p:plain

 

もう1点注意したいのが、攻撃者が「linktr.ee、bit.ly、cutt.us、cutt.ly、rb.gy」等の短縮リンクを使っている点です。リンク先(=ダウンロード先)のURLは、当然の事ながら本物に似せただけのドメインとなっている訳ですが、

f:id:foxcafelate:20210421061454p:plain

 

本物を似せた以下の様なログインページ(※こちらもGroup-IB記事より引用)に騙されて、IDとパスワードを入れてしまうと、アカウントを乗っ取られ別な詐欺広告を配布する事に利用されてしまう可能性があります。

※Group-IB記事ではアカウント乗っ取りから「身代金」請求がされる懸念も書かれていました。

※現時点で日本語の攻撃が観測されている訳ではありませんが、この攻撃手法には注意が必要かと思います。

 

ロゴが本物っぽいから、友達が勧めてきたから・・・と、思考停止して詐欺手段に巻き込まれない様に「一呼吸置く」(冷静になる)事も重要かと思いますし、リンクを信じずに、公式(ダウンロード)サイトを自分で見に行く事も防御策としては有効かと思います。

 

以下、参考までSecurity Affairsの記載です。

Group-IBは、警戒を怠らず、サイバー犯罪者の罠に陥らないようにするための基本的なサイバー衛生規則に従うようユーザーに求めています。短いリンクをたどるときは常に注意し世論調査や1ページのブログにつながる場合は危険信号を立てる必要があります。有名ブランドのロゴが付いている場合でも、サードパーティのリソースから取得したWebサイトに個人データを入力しないでください。ログイン資格情報は、ソーシャルネットワーク/サービスの公式ウェブサイトまたは公式アプリでのみ入力してくださいまた、アクセスするページのドメインにも注意を払う価値があります。FacebookMes​​sengerの場合と同様に、詐欺師はドメイン名のスペルを間違えて登録することがよくあります

(Security Affairs記事より引用)※機械翻訳

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

SNSアカウントの乗っ取りのイラスト(女性) 

 

更新履歴

  • 2021年4月21日 AM