Malwarebytesは7月19日(米国時間)、「PayPal phishing campaign goes after more than just your login credentials|Malwarebytes Labs」において、PayPalユーザーを標的とした新たなフィッシングキャンペーンが展開されたと伝えた。これはAkamaiのセキュリティ研究者が発見したキャンペーンで、サイバー犯罪者によって正規のWordPressサイトにPayPal向けのフィッシングキットが埋め込まれていたことが判明した。
発見されたフィッシングキャンペーンはまずWordPressサイトにブルートフォース攻撃を仕掛けて侵入を試み、ファイルマネージャプラグインをインストールし、キャンペーンに使うフィッシングキットをアップするという。
フィッシングキットには検知を回避しようとする特徴的な機能が実装されているとのことだ。接続したIPアドレスが検知を避けたい特定のドメインと一致しないこと、またはセキュリティ組織から発信されていないことを確認するため、接続IPアドレスに対して複数の異なるチェックを行う機能が仕込まれているという。
また、フィッシングページのURLの末尾に.phpを表示させないよう、.htaccessを利用していることもわかった。これは正規のPayPalログインページのURLに拡張子がついていないためで、接続した偽のPayPalのページが本物であるかのように見せかけるために行われている。
フィッシングページはPayPalのアカウント情報だけでなく、さらなる個人情報を窃取しようとする仕組みになっている。これはPayPalのような大手企業が実施しているセキュリティ対策を逆手にとったもので、PayPalのアカウント保護と称してクレジット情報や住所、銀行の暗証番号、社会保障番号などの情報を要求し、加えてパスポートや免許証といった自撮り写真付きの身分証明書をアップロードさせようとするとのことだ。
正規のサイトであっても、安全であるとは限らない。このようなフィッシングキャンペーンにだまされないよう、常にWebブラウザのアドレスバーに表示されるURLを確認することが望まれる。