8月24日(4)記事を投稿したタイミングでベンダーへの通報も済ませていたのですが、一部はブロックされずにブラウザに偽のセキュリティ警告を表示するテクニカルサポート詐欺が相変わらず活動しています。数が多いため恐らくはベンダーも気付けていないのだと思われます。特に8月末から.sbsドメインに偽セキュリティ警告を配置した攻撃が増加しています。
今まで情報セキュリティ研究者は防御を固めるために技術的に高度なプログラム上の欠陥を見つけることに力を注いできたのですが、攻撃者は一般ユーザーを騙すには閲覧者にとって有害な表示や音だけで済むことに気付いてしまったように感じています。PC操作者を騙せばどんなセキュリティも一時的に無効にさせることができます。発想は偽の還付金詐欺でATMを操作させるのと同じ要領です。攻撃者は利用者本人にPCを操作させています。そして利用者のうっかりやアップデート更新忘れを狙ってランサムウェアの脅威も続いています。
今回のサポート詐欺の仕組みを調査したら意外に多くの技術が総動員されていたでは、Web閲覧をきっかけに偽セキュリティ警告が表示される流れと仕組みについて具体例を挙げて解説します。なお、ダイレクトメッセージやeメールのSPAM、なりすましメールを使った攻撃も引き続き発生していますので引き続き注意が必要です。
Web閲覧をきっかけといっても、マルウェアが配置されているような危険なサイトは見ていないということが大半でしょう。いかにも危険なサイトだけでなく、サポート詐欺に関しては一般サイトも危ないのです。
例えばGoogle AdSenseで配信されている広告に何気ない内容のものも危ないのです。
他の広告と違って閲覧者向けにブランドやサイト名、ドメインなどを表示していません。Webサイトの広告管理者向けの広告レビューセンターも同様です。新規に取得されたとみられるGoogle広告アカウント(adv-識別番号)が使われていました。
広告をクリックしてアクセスすると次のようになります。
しかし、海外からのアクセスでは他のサイトを丸ごとパクってきたコンテンツが表示されていて内容は正常のように見えます。恐らくGoogleの広告審査や世界のセキュリティベンダーはこの正常と見える表示を(機械的に)見て判定していると考えられます。
海外・英語圏からのアクセスだとNihon Barbell Club https://www.barbell.jpのコンテンツと同じように見えます。ほかにも何種類かパクられているサイトがありました。
上記Webチェックサービスのurlscan.ioのURLを紹介します。
https://urlscan.io/result/7e4b853b-f608-4fe3-a59d-25e0b9c325b8/
気になった人は上記のページ「DOM」の項を参照したり、ダウンロードしてもらえれば細工されているHTMLコードを見ることができます。
難しいことはわからないからとにかく利用者向けに対応の案内をしたいという場合に次のスライドを用意しました。
不正サイトへ媒介してしまうと対策が追い付かないので、Webサイト運営者向けのスライドも用意しました。以前は既存のWordPressなどのサイトに寄生していましたので対策を怠らないようにしてください。ちなみに現在は既存サイトでの対策が進んでいるためか.sbsドメインになってからは攻撃者が用意しているものとみられます。偽セキュリティ警告を出力するためにCDNとしてWebセキュリティサービス「Cloudflare」が悪用されているため、マルウェアコンテンツをブロックCloudflareのDNSサービス“1.1.1.1”では防げない様です。企業・組織の管理者も気をっけたほうがよいでしょう。
サポート詐欺の仕組みを調べている情報セキュリティ研究者向けに今回のセキュリティチェックサイトのURLを紹介します。このURL自体はセキュリティチェックサイトのものなので安全ですが、結果に示されているドメイン、URLは生きています。記事の執筆時点(2023年9月1日)に偽セキュリティ警告が出力されていますので有害です。サポート詐欺の攻撃者の検出回避と大量出力に負けないように頑張っていきましょう。
月末・月初、年金支給日、ボーナス時期が特に狙われる傾向にあります。今月は期末時期でもあるので厳重に対策しておくべきです。
当ブログ関連記事
・サポート詐欺の仕組みを調査したら意外に多くの技術が総動員されていた
・サポート詐欺の仕組みを調査したら意外に多くの技術が総動員されていた(2)
・サポート詐欺の仕組みを調査したら意外に多くの技術が総動員されていた(3)
・サポート詐欺の仕組みを調査したら意外に多くの技術が総動員されていた(4)