Netflix を騙るフィッシングメールの拡散に注意

ASEC(AhnLab SEcurity intelligence Center)は最近、有名な OTT プラットフォームである Netflix を騙るフィッシングメールが拡散している状況を確認した。

OTT プラットフォームは我々が日常的によく利用するコンテンツであり、最近は世界的に利用者数が増加しているという点において、当該素材を利用したフィッシングメールには特に注意が必要な状況である。

実際のフィッシングメールの本文は以下の通りである。攻撃者は、Netflix のサブスクリプション決済に失敗したことを知らせ、支払い方法(payment)の変更を要請する内容を装っており、ハイパーリンクに接続してログインするように誘導していた。

端から見ただけではフィッシングメールだと疑うことが難しいほど巧妙に作られている。特に、攻撃者が使用したメールアドレスは「netflix-team[.]com」であり、メールの配布元(送信者)を疑うことも容易ではなかった。

この発信アドレスは攻撃者がフィッシングのために作成したドメインと推定され、Netflix が使用している公式のメールアドレスではない。

* Netflix の公式の送信元メールアドレス：netflix[.]com

攻撃者は「Help Center」や「Contact」などの他のハイパーリンクには関連する netflix の公式ホームページのリンクを挿入し、赤色でハイライトした「Update account now」ボタンにのみフィッシングページの URL を挿入した。

解析当時はハイパーリンクとつながっていた当該フィッシングページは無効になっており、さらなる解析は不可能であった。しかし、当該フィッシング URL のドメインを解析した結果、正常にサービス中のドメインではなく、下位 URL から facebook や google などの有名プラットフォームの CSS ファイルが同時に発見された状況からして、攻撃者が様々な素材を活用してさらなるフィッシングページを製作していたものと見られる。

攻撃者は疑われることを避けるために正常な URL(Netflix の公式 URL)も本文に混ぜてフィッシングメールを製作しており、素材に関しても一般的な大衆に親しみのある OTT プラットフォームを選択した。

本記事で紹介したケースは限りなく多い事例のうちの1つに過ぎず、フィッシングメールの巧妙な手法は日増しに発展していくものと思われる。結局のところ、必要とされるのはユーザーのセキュリティ意識である。

メール本文のハイパーリンクをクリックした場合は接続される URL を必ず確認する必要があり、できる限りハイパーリンクをクリックする方式ではなく、公式ホームページに直接アクセスして関連する内容を確認する習慣が重要である。

IOC 関連情報

URL

https[:]//piscatoria[.]co[.]nz/r/CLT6c1Q