フィッシング詐欺師はWixWebホスティングを悪用します

サイバー犯罪者は、Google DocsやDropboxなどの正当なオンラインサービスを破壊して、悪意のある活動を実行することを好みます。無料のウェブサイトホスティング会社Wixは、彼らが悪用したサービスのリストに追加された最新のものです。

セキュリティ会社Cyrenの研究者は、詐欺師がWix経由でOffice 365ログイン資格情報を収集するように設計されたフィッシングサイトを作成していることを発見しました。これは、Webページを構築するためのシンプルなクリックアンドドラッグエディターを提供します。無料サービスで一般的に発生するように、犯罪者はこれらのツールを利用して操作を実行しています。

フィッシングサイトは、Office365ログインページを開く新しいブラウザウィンドウのように見えます。実際、これはOffice 365ログインページのスクリーンショットであり、編集可能なフィールドが画像にオーバーレイされています。ユーザーは、サイトが正当であると考えてログイン資格情報を入力します。ただし、情報は実際のOffice365ページではなくオーバーレイのフィールドに入力されます。

サイレン氏によると、デスクトップではオーバーレイは問題ありませんが、フィールドが画像から分離されているという事実は、モバイルデバイスでははるかに明白です。

犯罪者たちはまた、Wixの監視下にとどまる方法を考えています。たとえば、ページにテキストがなく、すべて1つの画像であり、パスワードフィールドのスペルが「passvvord」と間違っています。攻撃者は、Wixにサイトのコンテンツをチェックして潜在的に不良なサイトにフラグを立てる自動スキャンプロセスがあることを前提として、これらの決定を下した可能性があります。

Cyrenの研究者であるAviTuriel氏によると、攻撃者は、何かが新しいブラウザウィンドウを開いたとユーザーに思わせるようにページを設計した可能性があります。また、攻撃者が元のログインページのスクリーンショットを撮り、画像の編集に煩わされることなく、怠惰の印である可能性もあります。 「多分それが機能するかどうかを確認するための試行であるため、それに費やされる労力は少なくなりました」とTuriel氏は述べています。

犯罪者は、クラウドストレージサービスでマルウェアをホストしたり、正当なプロバイダーとの攻撃インフラストラクチャを構築して、一般的なセキュリティ防御を回避したりすることを好みます。ユーザーは、潜在的なスパムやフィッシング攻撃のリンクを精査するように訓練されている場合でも、人気のあるドメインやサービスへのリンクをクリックすることを考え直す必要はありません。これらのツールを使用するように条件付けられているからです。組織はまた、広く採用されている完全に人気のあるドメインやサービスプロバイダーをブロックすることはできません。場合によっては、Webセキュリティ製品は信頼できると見なされるため、URLをスキャンすることすらできない場合があります。

また、これらのサービスが無料であることも役立ちます。攻撃者は、お金をかけずに有効なドメインの恩恵を受けることができます。

Cyrenは、ユーザーがWixページにどのように送られるかを知りませんでした。ブラウザのリダイレクトまたはソーシャルエンジニアリングキャンペーンは、ユーザーをサイトに誘導している可能性があります。悪意のあるページはWixに報告されていますが、管理者は特定のサイトを信頼できると考えるのをやめる必要があります。最も害のないサイトでさえ、悪意を持って使用される可能性があります。