HACK04
 マイクロソフトセキュリティ研究者は、カスタム404エラーページを使用して、潜在的な被害者をだましてマイクロソフトの資格情報を盗むという異常なフィッシングキャンペーンを発見し、注意を呼び掛けています。
SININ

これは、攻撃者はドメインを登録しており、、単一のフィッシングランディングページを作成して被害者をリダイレクトする代わりに、偽のログインフォームを表示するカスタム404ページを作成しています。これによって、悪意のある攻撃者は、単一の登録済みドメインの助けを借りて無限の量のフィッシングランディングページURLを生成できます。

Microsoftの調査チームによると、
「404 Not Foundページは、リンクが壊れているかリンクが切れていることを示しています。ただし、そうでない場合を除きます。フィッシング詐欺師は悪意のあるカスタム404ページを使用してフィッシングサイトにサービスを提供しています。Microsoftをターゲットとするフィッシングキャンペーンでは、このような手法を使用してフィッシングURLを事実上無制限にしています。」

 この資格情報を盗むために使用しているカスタム404エラーページは、正当なMicrosoftアカウントのサインインページとして、細部まで完全に偽装されています。また、フィッシングページ上のすべてのリンク(下部のリンクやMicrosoftアカウントへのアクセスや新しいアカウントの作成に使用されるリンクを含む)は、ターゲットを疑わないようにするために、Microsoftの公式ログインフォームに直接リンクしています。

 この偽装された404エラーページと本物の見分け方は、この偽装された404エラーページには、[次へ]ボタンの上にある[サインインオプション]リンクと、ページ上部のCookie通知がないということです。

「不正な404ページは、攻撃者が制御するドメイン内の存在しないURLに配信されるため、フィッシング詐欺師はキャンペーンにランダムなURLを使用できます」とMicrosoftが追加します。 「攻撃者はドメインをランダム化し、フィッシングURLの数を指数関数的に増加させることも発見しました。」


 フィッシングフォームは、 hotelsacliff [。] comに送信されるMicrosoftの電子メールアドレス、電話番号、またはSkype名を収集するように設計されています。

 この偽のページは、Microsoft資格情報を正常に収集した後、短縮URLでマスクされた実際のMicrosoftログインフォームにリダイレクトします。そのため、ユーザーはフィッシングされたということに気づきません。

 Microsoftはこのキャンペーンで使用されているURLをMicrosoft Defender SmartScreenの報告されたフィッシング、マルウェア、エクスプロイト、および詐欺サイトのリストに既に追加していますが、GoogleはまだそれらをピックアップしてSafe Browsingブラックリストサービスに追加していません。そのため、ブラウザで危険サイトとして認識しないのが現状です。

 今回、Microsoftのカスタムページが発見となりましたが、同様の手法を使用すると、Amazon CloudFront、Microsoft Azure、Squarespace、Weeblyなど、カスタム404 Not Foundページを介してフィッシングランディングページを作成することもできます。
 つまり、これらの各サービスは同様のフィッシングキャンペーンで悪用される可能性があり、Microsoft自身のAzure Storageが主要なターゲットとなり、 静的なWebサイトホスティングに使用でき、カスタム404ページのサポートも提供します 。十分注意してください。