Sucuriは7月26日(米国時間)、「DHL Phishing Page Uses Telegram Bot for Exfiltration」において、国際宅配便大手のDHLを偽るフィッシングページで窃取した個人情報の流出にTelegramのボットが使用されていると伝えた。これまで、フィッシングページでは悪意のあるPHPスクリプトが窃取した情報をサイバー犯罪者に渡す役割を担うのが一般的だった。しかし近年、メッセージプラットフォームが暗号化を採用していることを悪用し、Telegram APIを利用してデータを転送するサイバー犯罪の数が急増しているとのことだ。
-
DHL Phishing Page Uses Telegram Bot for Exfiltration
Sucuriによる最近の調査で、世界220カ国以上で年間18億個以上の小包を配達する人気の宅配便・小包郵送サービスであるDHLを標的とした比較的単純なフィッシングページが発見された。偽のページはDHLの正規のページであるように偽造されており、氏名や電話番号といった個人情報やクレジットカード情報を窃取するために作られていることがわかった。
見つかったフィッシングページでは、窃取した情報データを興味深い方法でサイバー犯罪者へ送信していることが明らかとなった。このフィッシングページを作成したサイバー犯罪者は、電子メールを使ってデータを送信する代わりに、人気のあるホスティングアプリケーションプラットフォーム「Heroku」を悪用している。被害者が個人情報などを入力するとJavaScriptがデータを収集し、AJAXとPOSTを使用してアプリを介して送信するという。また別のスクリプトでは、Telegramボット用のAPIトークンとともにAJAXでデータを送信するためのURLが定義されていることも判明した。
Sucuriは、このようなフィッシングページは必ずしもWebサイトのページに直接ロードされるとは限らないため、単純な検索でたどり着くことはないとしている。
Webサイトの管理者はリスクを軽減し、感染を防ぐためにソフトウェアと拡張可能なコンポーネントを最新のセキュリティパッチに更新することやセキュリティ強化のベストプラクティスに従い、ファイアウォールを採用して既知の脆弱性を仮想的にパッチすることが推奨される。また、フィッシングキャンペーンを展開するサイバー犯罪は、cPanelやその他の管理用パスワードの脆弱性を悪用することが多い。強力なパスワードを使用し、かつ多要素認証(MFA: Multi-Factor Authentication)を使うことが望まれる。
