PayPal フィッシング
2020 年 5 月 4 日 Marc Laliberte 著
先日、筆者が使う個人的なメールアドレス宛に、PayPal を装うフィッシングメールが届いていました。フィッシング攻撃を意図したメールが、筆者の使用するクラウドメールプロバイダのスパムフィルターを突破するということは珍しいので、サンドボックスを使ってマルウェアが関与していないか詳しく調べてみることにしました。
本文に潜むフィッシングの手口は極めて一般的なものでした。それは、筆者の PayPal アカウントが、不審なアクティビティによってアクセスを制限されている、と知らせるメッセージを偽装するという手口です。メール本文の言い回しの中にまず、正規の発信元から送られてきたものではないとわかる明らかな証拠がありました。まず、PayPal が普段筆者に送ってくるメールの中には、必ずフルネームが記載されています。そのためこのメールの、普段とは違った「お客様へ」という書きだしが明らかに不審でした。次に、最初の一文がまったく意味をなしません。「弊社のテクニカルサポートと顧客部門は、最近あなたのアカウントのアクティビティを疑いました」とあります。本来ならば「…最近あなたのアカウントに不審なアクティビティを検出しました」などとなるはずです。
フィッシングメール本文画像
本文以外だと、ヘッダ部分に明らかに不審な点があります。たとえば、「From」ヘッダは PayPal のメールドメインに偽装されていましたが、実際の送信者アドレスは phonedisney[.]com で、これはこのメールが送信される数日前に取得されたドメインです。
送信者アドレス画像
メールのwhois画像
さらに面白いことに、このメールは異なるメールアドレスに宛てて大量に送信されており、「To」ヘッダ内に、筆者の個人アドレスと微妙に異なるアドレスが 180 個、アルファベット順に並んでいました。攻撃者が BCC の使い方を知らなかった理由は、筆者には理解しかねます。
メール内にあるリンクの URL には、meansfat[.]com というドメインでホストされた URL 短縮サービスが使用されていました。サイト自体は cPanel で構築され、URL 短縮プラグインか、筆者のよく知らないサービスを使用していたようです。元のリンクパスを何回か変更しアクセスを試みると、エラーが返され、短縮サービスがなんらかの API と通信していることが示唆されました。Google でこの文字列をいくつか検索してみると、他にも同サービスを使用しているサイトはあるようです。
URL 短縮画像
メール内のリンクをクリックすると、ランダムに生成されたユニークなキーが訪問者に紐付けされ、そのキーを付与されたパスによって service-account[.]genuinelysmash[.]com へとユーザはリダイレクトされます。その際、キーはセッション cookie に保存されます。フィッシングメールをホストしている Web サーバは、そのキーに紐付けされたユーザがフィッシングサイトのすべてのフォームを通過してきたかどうかをチェックし、もしそうであれば、正規の paypal.com のサイトへリダイレクトします。この機能によって、疑い深いユーザ(あるいはアナリスト)でも、ローカルセッションストレージをクリアしない限り、偽の入力フォームに再び戻ることができなくなっています。
フィッシングの最初のページはシンプルで、PayPal のログインフォームに似せて作ってあります。「ログインに問題がある場合」というリンクや「サインアップ」のリンクは、クリックするとすぐに正規の PayPal アドレスに転送されますが、「ログイン」のリンクは、そこで入力された認証情報を、攻撃者が管理するサーバに送信します。
PayPal ログインフォーム
認証情報を送信した後は、その情報が有効か無効かにかかわらず、次のページで被害者のアカウントが制限されている、という注意書きが表示され、「アカウントを保護する」というリンクが出てきます。
注意書きのページ画像
その次のページでユーザは PayPal アカウントの制限を解除するためと思われる情報を要求してきますが、実際にはこれはユーザの個人情報を収集するためのもので、氏名、住所、電話番号、社会保険番号、そして母親の旧姓まで入力を要求してきます。
請求書情報画像
その次のページでは、クレジットカードの番号を要求されます。面白いことに、このページは Luhn アルゴリズムを用いており、明らかに偽物とわかるようなクレジットカードの番号は弾かれるようになっています。
クレジットカード情報入力画面画像
「有効な」クレジットカード番号を入力した後は、(つまりチェックを通過した後は)最終的に正規の paypal.com/signin のページへとリダイレクトされます。この際、cookie やセッションデータが残っているので、サイトのために保存したデータをリセットしない限り、フォームを遡れないようになっています。
全体としてこのフィッシングでは、正規の PayPal のフォームを偽装するため、精巧な素材が使われていました。被害者がメールの本文にある URL や不審な点に気づかなかった場合は、罠にかかってしまう可能性があります。この例からも、覚えのない不審なメールには必ず疑いを持って接することの大切さが、改めて理解いただけると思います。PayPal のように、重要性の高いサービスからユーザの行動を促すようなメールを受け取った場合は、面倒でも必ず自身で公式のサイトを確認し、メール内にあるリンクはクリックせず、さらに疑いがある場合には、電話で直接確認をするようにしましょう。
ウォッチガード製品をお使いであれば、DNSWatch サービスにより、今回紹介したフィッシングに関連するドメインはすべてブロックされます。DNSWatch が有効なら、このフィッシングの被害に遭いそうになったユーザは、自動的にフィッシング予防のための簡単なビデオや、不審な点を見抜く簡単なゲームにリダイレクトされるようになっています。