新たなフィッシングキャンペーンの概要
最近、暗号の著名人を狙った新たな洗練されたフィッシングキャンペーンが発生しています。この攻撃は、二要素認証(2FA)を回避し、従来の詐欺よりも信頼性の高い手法を用いています。暗号開発者のZak Coleによると、このフィッシングキャンペーンはXのインフラを利用して著名人のアカウントを乗っ取るものです。
「ゼロ検出。現在進行中。完全なアカウント乗っ取りです。」
Coleは、この攻撃が偽のログインページやパスワード盗難を伴わないことを強調しました。代わりに、Xアプリケーションのサポートを利用してアカウントにアクセスし、2FAを回避します。MetaMaskのセキュリティ研究者Ohm Shahもこの攻撃を「実際に見た」と確認し、より広範なキャンペーンの可能性を示唆しました。また、OnlyFansのモデルも、より洗練されていないバージョンの攻撃の標的となっています。
攻撃の手法と特徴
このフィッシングキャンペーンの注目すべき特徴は、その信頼性と控えめさです。攻撃は、公式のGoogleカレンダーのドメインにリダイレクトされるように見えるリンクを含むXのダイレクトメッセージから始まります。これは、ソーシャルメディアプラットフォームがプレビューを生成する方法によるものです。Coleの場合、このメッセージはベンチャーキャピタル会社Andreessen Horowitzの代表者から送られているふりをしていました。
リンクされているドメインは「x(.)ca-lendar(.)com」で、土曜日に登録されました。それでも、Xはサイトのメタデータを利用して、プレビューに正当なcalendar.google.comを表示します。「あなたの脳はGoogleカレンダーを見ています。URLは異なります。」クリックすると、ページのJavaScriptがXの認証エンドポイントにリダイレクトし、アプリがあなたのソーシャルメディアアカウントにアクセスするための承認を要求します。
アプリは「カレンダー」のように見えますが、技術的な検査により、アプリケーションの名前には「a」と「e」に見える2つのキリル文字が含まれており、実際のXの「カレンダー」アプリとは異なることがわかります。
ユーザーへの警告と対策
これまでのところ、リンクが正当でないことを示す最も明白なサインは、ユーザーがリダイレクトされる前に一瞬表示されたURLかもしれません。これはおそらく一瞬だけ表示され、見逃しやすいです。それでも、Xの認証ページでは、これはフィッシング攻撃であるという最初のヒントが見つかります。アプリは、アカウントのフォローやフォロー解除、プロフィールやアカウント設定の更新、投稿の作成や削除、他のユーザーの投稿への関与など、包括的なアカウント制御権限の長いリストを要求します。これらの権限はカレンダーアプリには不要に思え、注意深いユーザーを攻撃から救うヒントになるかもしれません。
権限が付与されると、攻撃者はアカウントにアクセスでき、ユーザーはGoogleカレンダーのプレビューにもかかわらずcalendly.comにリダイレクトされるという別のヒントが与えられます。「Calendly?彼らはGoogleカレンダーを偽装しましたが、Calendlyにリダイレクトしますか?重大な運用セキュリティの失敗です。」この不一致は被害者に警告を与える可能性があります。
Coleの攻撃に関するGitHubレポートによれば、プロフィールが侵害されたかどうかを確認し、攻撃者をアカウントから排除するためには、Xの接続アプリページを訪れることをお勧めしています。その後、「カレンダー」と名付けられたアプリを取り消すことを提案しています。
