こうした攻撃は、いつもリンクとクリックから始まる。つまり、メールやメッセージ、ソーシャルメディアの投稿などに含まれるリンクを安易にクリックしないという基本的な対策を守れば、被害は完全に回避できる。このリンクをクリックすると、悪意あるサーバーへとリダイレクトされ、「被害者と正規のログインページ間の通信を中継しながら、ターゲットドメインの外観と機能を模倣する」もしグーグルを選択すれば、そのログインページが表示されるというわけだ。
セキュリティ警告は出ず、あたかも正規サイトにいると錯覚してしまうが、MITM攻撃によって入力データは盗まれ、裏で本物のページに転送される。「ユーザーエージェントとIPアドレスを利用することで、攻撃者は被害者のセッション環境を複製し、ログイン時の検知リスクを抑えている」のだ。
2FAによる安心感は、この攻撃によって完全に覆される。「SMSコードや認証アプリ、プッシュ通知などの2FAが導入されていても、Astarothは2FAトークンの入力をリアルタイムで傍受し、被害者が入力したトークンを即座に攻撃者側に渡す。攻撃者はウェブ上の管理パネルやテレグラム通知を通じてその情報を瞬時に得るようになっている」
2FAにはその他の課題もあるため、パスキーの普及が急速に進んでいるが、この攻撃ではブラウザからセッションCookieを盗み、攻撃者のデバイス上で被害者の認証済みセッションを再現することもできる。セッションCookieの盗難防止策はすでに存在するものの、依然として深刻な問題である。
このフィッシングキットは安価で流通している。「2000ドル(約30万3000円)で6カ月間の継続アップデートが提供され、最新の改良や回避技術を利用できる。購入前テストにも対応しており、サイバー犯罪市場での製品としての『信頼性』をアピールしている」という。
多くのフィッシング攻撃は今も単純な手口が主流だが、AIの発展によって見分けがつきにくい手口へと進化すると考えられる。対策は明らかだ。リンクをクリックしないことだ。
普段利用している方法以外のサインイン用ポップアップを使わないこと。再度の認証が必要な場合は、通常の方法でログインページにアクセスすること。正規のチャンネルを通じて自分でリクエストしたものでなければ、リンクを使わないことが肝要だ。
(forbes.com 原文)
