有名 OTT サービスを騙ったフィッシングメールに注意

最近、 AhnLab SEcurity intelligence Center(ASEC)では 有名 OTT サービスを騙ったフィッシングメールが拡散していることを確認した。電子メールの本文では、 OTT サービスの購読決済に問題が発生したので、確認してほしいという内容に偽装しており、「今すぐアップデート」というフレーズのハイパーリンクをクリックするように誘導する。

[図1] フィッシングメールの本文

ハイパーリンクをクリックしてフィッシングサイトに接続すると、[図2]のように偽のログインページに接続する。一般的なフィッシングメールの場合、フィッシングサイトにユーザーのメールアカウントが自動で入力され、ユーザーのアカウントを変更できないが、今回のフィッシングメールの場合はフィッシングサイトでユーザーのメールアカウントを直接入力するため、ユーザーが被害に遭った事実に気づかないようにする。

[図2] ログインを装ったフィッシングページ

偽のログインページでログインを試みると、 C2 にアカウント情報とパスワードが送信されるようになっている。その後、自動更新に失敗したというページと共に、「Resume my subscription」というフレーズをクリックするように誘導する。

[図3] C2 に送信されるアカウント情報(送信されたアカウントとパスワードは test 用に使用された。)

[図4] 偽の購読更新ページ

この文句をクリックすると、[図5]のようにクレジットカード情報を記入する偽のページに Redirect される。このページは偽のログインページと同じように、[図6]のようにユーザーの名前、電話番号、クレジットカード情報を C2 に送信する。[図5]に記入された ユーザーの名前、電話番号、クレジットカード情報は、解析のための test 用に記入した。

[図5] 偽のクレジットカード情報記入ページ

[図6] C2 に送信されるクレジットカード情報(送信されたクレジットカード情報は test 用に使用された。)

出所が不明な電子メールを閲覧する際は、ユーザーが特に注意する必要がある。電子メールの送信者が信頼できるかどうかを確認し、疑わしいリンクや添付ファイルは開かないことが重要だ。特に、個人情報や金融情報を要求する電子メールは、より慎重に取り扱う必要がある。 近年、には攻撃者が正常なプラットフォームを C2 サーバーとして利用する事例が増加しており、このような攻撃は検知が困難な場合があるため、ユーザーはより注意する必要がある。