フィッシングキャンペーン警告
最近、最も広く利用されている分散型金融プラットフォームの一つ、Aaveを装った新たなフィッシングキャンペーンが発生しています。2023年6月20日、Web3セキュリティ企業のScam Snifferが、偽のAave(AAVE)広告がGoogle検索結果の上位に表示されていると警告しました。これらの広告は、ユーザーを悪意のあるウェブサイトに誘導し、資金を盗む目的で危険な取引を行うよう仕向けています。
フィッシングWebサイトの手口
フィッシングWebサイトは、Aaveの公式プラットフォームのユーザーインターフェースや誤解を招くドメイン名に非常に類似しており、ウォレットを接続すると、ユーザーは資産を無断で盗む取引の承認を求められます。この種の詐欺は、技術的な精査なしでは発見が難しく、ユーザーがトップ検索エンジンの結果を信頼することに依存しています。
注意:現在、偽の「Aave」広告がGoogle検索結果の上位にあります!これらのフィッシング広告は、悪意のある取引署名を通じてウォレットを空にするように設計されています。
過去のフィッシング事件との類似性
この事件は、2024年に観察されたトレンドに似ており、いくつかの重要なフィッシング詐欺が暗号通貨業界に大きな損失をもたらしました。有名なケースでは、偽のXRP(XRP)エアドロップキャンペーンがRippleのCEOを装い、ユーザーをフィッシングWebサイトに誘導する詐欺的なキャンペーンが行われました。また、別の人気キャンペーンではGoogle Playのスポンサー広告を利用してMetaMaskユーザーを標的にし、ウォレットの妥協や資格情報の盗難を引き起こしました。
データ漏洩とそれに伴うリスク
さらに懸念されるのは、2023年6月19日にCybernewsが報じた、総計16億のログイン資格情報がinfostealerマルウェアによって収集され、保護されていないクラウドデータベースに保存されている問題です。これには、GitHub、Apple、Google、Telegramなどのウェブサイトのログイン資格情報が含まれています。これらの情報は歴史上最も大規模なデータ漏洩の一つを暴露し、多くのinfostealerから得られたと考えられています。
敏感な情報が不必要に集約されることで、ダメージをもたらす可能性があります。また、この漏洩は、攻撃者に対して資格情報詰め込み攻撃や、よりターゲットを絞ったフィッシングキャンペーンを開始するための豊富なデータを提供する可能性があります。
推奨される対策
ユーザーには、暗号通貨プラットフォームにアクセスするための検索エンジンの使用を控え、検証されたURLまたは保存されたブックマークを利用することが推奨されます。追加のリスク軽減策として、ハードウェアウォレットの利用、多要素認証の有効化、シードフレーズをクラウドサービスに保存しないことが含まれます。
セキュリティギャップの浮き彫り
Aaveの偽装詐欺は、オンライン広告における持続的なセキュリティギャップを浮き彫りにしています。GoogleやMetaのような企業は、悪意のある行為者がスポンサー広告の配置から利益を得ることを許可していると非難されています。フィッシング手法が進化する中で、ユーザーはより厳格なプラットフォームレベルの管理と暗号通貨コミュニティ内での認識の向上によって保護される必要があります。
