Malwarebytesは7月25日(米国時間)、「Watch out: Instagram users targeted in novel phishing campaign|Malwarebytes」において、Instagramユーザーを狙う珍しいフィッシングメールを発見したと報じた。

通常は認証情報を窃取するためにフィッシングサイトへ誘導するが、今回は異なるタイプのリンクを確認したという。

  • Watch out: Instagram users targeted in novel phishing campaign|Malwarebytes

    Watch out: Instagram users targeted in novel phishing campaign|Malwarebytes

認証情報を窃取しない攻撃

Malwarebytesが確認したフィッシングメールは次のとおり。多要素認証(MFA: Multi-Factor Authentication)のワンタイムパスワード(OTP: One Time Password)を通知する正規メールに偽装していることがわかる。

  • フィッシングメールの例 - 引用:Malwarebytes

    フィッシングメールの例 引用:Malwarebytes

被害者がフィッシングメールだと気づかない場合、認証情報を窃取されたと勘違いし、対抗策を取る必要があると考えることになる。どうすべきか悩む被害者に、攻撃者はメールの最後で救いの手を差し伸べる。

「あなたではない場合、このユーザーを報告してアカウントを保護してください」

報告先のURLは「mailto:」から始まるメールアドレスで、リンクをクリックするとデフォルトのメールアプリが起動する。送信先アドレスには攻撃者のメールアドレス、件名には「アカウントを保護するためにこのユーザーを報告する」と設定されたメールの作成画面が表示される。Malwarebytesによると、このメールを送信しても応答はないという。

影響と対策

この攻撃では認証情報の窃取やアカウントの乗っ取りなどは行われない。唯一の可能性はメールの返信だけとなる。つまり、攻撃の目的はメールアドレスの有効性の検証と考えられている。

メールアドレスが有効だとわかると、攻撃者はさらなる攻撃や、有効なメールアドレスの売却などを行う可能性がある。追加の攻撃としては、Metaになりすましたソーシャルエンジニアリング攻撃の可能性が指摘されている。

Malwarebytesは同様の攻撃を回避するために、送信先メールアドレスに注意するように呼びかけている。これまでのところ、Metaと関係のない別企業のドメイン名に類似したメールアドレスを使用していることが確認されている。

Instagramアカウントはサイバー犯罪者にとって魅力的な標的となっている。今年3月にはInstagramビジネスアカウントの不正アクセスを目的とするフィッシング攻撃が報告されており、警戒することが望まれている。