フィッシング攻撃は、今日、サイバー犯罪者によって最もよく使用されている銀行データ盗難手法です。したがって、この種の攻撃、つまり正規のサイトをシミュレートするために使用される「偽」 Web ページを実行するときに、主要なツールがどのように機能するかを知ることが重要です。
これを行うために、サイバーセキュリティ会社カスペルスキーの研究者らはこれらのページのライフサイクルを分析し、さまざまなフィッシング対策エンジンが悪意のあるリンクを検出してデータベースに登録する前に、フィッシング ページの 3 分の 1 が 1 日後に消えることを発見しました。
わずか 3 週間 (2021 年 7 月 19 日から 8 月 2 日まで) で、研究著者らは合計 5,307 件のフィッシング ページの例を収集することができ、分析されたリンクの大部分 (1,784 件)が、モニタリングの初日、たとえ最初の数時間後であっても。
実際、リンクの 4 分の 1 は監視開始から 13 時間後にアクティブを停止し、 Web サイトの半分は 94 時間を超えて存続しませんでした。カスペルスキーのセキュリティ研究者、エゴール・ブブノフ氏は次のように述べています。
「ユーザーがリンクを受け取ってサイトの正当性に疑問を感じた場合は、数時間待つことをお勧めします。その間、リンクが表示される確率が低くなるだけでなく、フィッシング データベースは増加しますが、フィッシング ページ自体は活動を停止します。
考慮すべきデータ
このタイプのページのライフ サイクルは必然的に短いため (前述のフィッシング対策エンジンの圧力により)、攻撃者はページがまだアクティブな間に、悪意のあるリンクをできるだけ早く拡散する方法を模索します。
通常、攻撃者は既存のページを変更するのではなく、新しいページを作成することを選択します (ただし、単におとりとして使用されるブランドを変更することを選択する場合もあります)。
そして、経済的動機は創意工夫を活性化するため、多くの攻撃者は、ユーザーには見えないが、フィッシング対策エンジンによる検出を防止または遅延させる、ページのコード要素をランダムに変更することに基づく手法を開発しました。
カスペルスキーはレポートの中で、次のような場合に警戒を怠らないように考慮すべき 2 つの注意事項を提供しています。
サイバー犯罪者は、Web ページのアドレスを偽装したり、正規の URL から偽の Web サイトにリダイレクトしたりすることを目的として、独自のパブリック Wi-Fi ネットワークを作成することがあります。
詐欺師は独自の SSL 証明書を発行する可能性があるため、HTTPS プレフィックスであっても、Web への接続が常に安全であることを示すわけではありません。
フィッシング Web サイトのホスティングとドメインに関する特殊性
フィッシング ページは通常、.org や .com などの有名で古いドメインでホストされています…しかし最近では、非常に低コストの .xyz ドメインの使用がサイバー犯罪者の間で非常に人気になっており、これらの「一時的な Web サイト」を作成するオプション。サイトが不要になった場合、所有者はドメイン登録を更新せずに立ち去るだけで済みます。
また、この調査で注目に値するのは、動的ドメイン名サービスである、ドメイン duckdns.org で「ホストされている」サイトの存在です。これにより、サーバーの所有者は、ドメイン名をその IP アドレスに無料かつ迅速にリンクできます。
最後に、多くの場合、これらの悪意のある Web サイトは、以前に攻撃された正規の Web サイトのサブディレクトリまたはサブドメインでホストされているということを忘れないでください。したがって、管理者が異常なアクティビティを検出すると、サイバー犯罪者が予期する前にオフラインになることがよくあります。