Techstrong Groupは5月1日(米国時間)、Security Boulevardの「PsyOps of Phishing: A Wolf in Shepherd’s Clothing - Security Boulevard」において、偽のCAPTCHAを用いた新しいフィッシング攻撃の概要を伝えた。

攻撃者は信頼できるセキュリティベンダーを装う心理戦(PsyOps)を展開しており、羊ではなく羊飼いの皮を被った狼のようだとして新しい戦術に注意を呼びかけている。

  • PsyOps of Phishing: A Wolf in Shepherd’s Clothing - Security Boulevard

    PsyOps of Phishing: A Wolf in Shepherd’s Clothing - Security Boulevard

CAPTCHAで信用を勝ち取りシンプルに攻める

Allure Securityにより発見された新しい手法では、メールやメッセージから直接フィッシングサイトにリダイレクトするのではなく、偽のCAPTCHAに誘導する手法が用いられたという。

過去にも偽のCAPTCHAを用い、ClickFix戦術によるマルウェアの配布が確認されているが、今回は正規の「Cloudflare Turnstile」を装ってフィッシングサイトにリダイレクトしただけとみられる(参考:「Webブラウザ拡張機能悪用するマルウェア、PDF×CAPTCHAで拡散 | TECH+(テックプラス)」)。

手順に新しさは感じられないが、Cloudflareの信用の皮を被り、あえて特別なことをしないことでユーザーを安心させ、認証情報を窃取したとみられている。

  • Cloudflare Turnstileを装う偽サイトの例 - 引用:Security Boulevardの記事

    Cloudflare Turnstileを装う偽サイトの例 引用:Security Boulevard

また、偽のCAPTCHAには研究者による検出を回避する機能も含まれていたことが確認されている。フィッシングサイトのURLには偽のCAPTCHAにアクセスした端末を一意に識別するIDが付加されており、アクセスの一貫性が確認できない場合はYouTubeにリダイレクトされるという。

対策

調査の過程にて発見されたフィッシングサイトは関係者の努力によりすでに閉鎖されている。しかしながら、攻撃者が今回限りで諦める可能性は低いとみられている。

Allure Securityは同様の攻撃を回避するために、CAPTCHAが表示された場合は「誰が誰を認証しているのか」と自問し、無意識に信用を受け入れないように推奨している。CAPTCHAはWebサイトの正当性を保証するものではないことを理解し、認証情報を入力する前に必ず正規のURLか確認することが望まれている。