カスタムフォントを使用して痕跡を隠し、検出を回避する新しいフィッシング キャンペーンが発見されました。
セキュリティ企業のProofpointは今週、「大手リテール銀行」の顧客からログイン情報を盗もうとした犯罪者が、フィッシングメールを意味不明な文字に加工することで、自動検出ツールの検出を逃れることができたと報告しました。メールクライアントで表示されると、カスタムフォントによって文字が解読され、まともなテキストとして表示されます。
プルーフポイント社は、フィッシング攻撃は少なくとも2018年5月から行われており、現在も継続中だと述べた。
仕組みはこうです。ページはカスタムフォントを読み込み、例えば「A」を「E」、「B」を「H」などと表示します。これにより、特定のキーワードを探すセキュリティツールを欺く、原始的な置換暗号が作成されます。ソフトウェアはランダムな文字列のみを検知しますが、ユーザーには判読可能なテキストが表示されます。もちろん、被害者のメールクライアントはカスタムフォントをダウンロードしてレンダリングするように設定されている必要があります。
詳細:ロシア政府のFancy Bear UEFIルートキットがWindows PCに侵入する方法
続きを読む
「今回のケースでは、攻撃者はカスタムウェブフォントを使用して置換暗号を実装するフィッシングテンプレートを開発したほか、他の手法も使用して、米国の大手銀行の認証情報を求める巧妙に細工されたフィッシングページを表示した」とプルーフポイントは分析の中で述べている。
「置換暗号自体は単純だが、ウェブフォントファイルによる実装は独特なようで、フィッシング攻撃者に痕跡を隠して消費者を騙す新たな手法を与えてしまう。」
Proofpointによると、フィッシングページが暗号を使って実際の表示テキストを偽装することは珍しくありません。しかし通常、この操作はJavaScriptを介して実行されます。現在、ほとんどのブラウザセキュリティツールは、メッセージのソースコード内に復号化または難読化解除スクリプトがないか確認するため、この攻撃を行うハッカーは別の方法でテキストを難読化せざるを得なくなります。
偽の銀行メールに使用されているロゴも難読化されています。実際の企業ロゴを埋め込むとフィッシング対策システムに検知される可能性がありますが、スケーラブルベクターグラフィックスを使用してレンダリングされているため、ロゴとそのソースコードはソースコードに表示されません。
フィッシング攻撃を避ける方法の一つは(アンチウイルスソフトやスパムフィルターの活用に加え)、銀行を装った迷惑メールや不審なメール内のリンクをたどらないことです。もし疑わしい場合は、新しいブラウザウィンドウを開き、銀行の正しいアドレスとログイン情報を手動で入力することで、正規のウェブサイトにアクセスしているかどうかを確認できます。メッセージをプレーンテキストで表示したり、カスタムフォントを無効にしたりすることでも、不正行為を検知または阻止できます。®
