2019年4月10日

株式会社Doctor Web Pacific

ハッカーたちは有名な国際企業のニュースレター購読フォームを利用してフィッシングサイトへのリンクを拡散しています。公式のアドレスから送信されるメールは、受信者にもスパムフィルターにも信頼できるものと見なされてしまうことから、被害者の数が増加しています。

このところ、ロシアの複数のユーザーがアウディ、オーストリア航空、ベルリンSバーンなどの有名な国際企業からフィッシングメールを受け取っています。これらのメールは企業の公式アドレスから送信されており、何ら疑うべき点のないものでした。メールヘッダーは英語またはドイツ語で書かれていますが、本文は「Money for you（お金を稼げます）」といった意味のロシア語で始まっています。

メールの冒頭には出会い系サイトのハッキングされたページに繋がるリンクが貼られています。そのサイトのスタブページに埋め込まれた悪意のあるコードによって、ユーザーはそこから複数の別のサイトへリダイレクトされ、最終的にフィッシングサイトへと飛ばされます。

ユーザーはそこで、自分のメールアドレスが当選し、「ラッキーEメール」と呼ばれる国際的プロモーションに参加する権利を勝ち取ったということを知らされます。参加する場合、ユーザーは10～3000ユーロの賞金を受け取るために調査に回答しなくてはなりません。信憑性を高めるため、サイトには賞金を受け取ったとする人物からのコメント――賞金の額が少ないというコメントまで――が掲載されています。

ユーザーが調査の質問に答えた後、サイトにはプロモーションや賞金の額、それを引き出すための条件などの情報が表示されます。その条件の1つに、ユーザーはユーロをルーブルに両替するための手数料を支払わなくてはならないというものがあります。

この手数料を支払うために、ユーザーはクレジットカード情報を入力する偽の決済ページにリダイレクトされ、入力が完了すると、SMSで受け取った確認コードを入力するよう求められます。すべての手順が完了した後、ユーザーの銀行口座からお金が引き落とされ、そのクレジットカード情報はハッカーの手元に残ります。ユーザーの口座にお金が振り込まれることはありません。

興味深いのは、ハッカーたちがフィッシングメールを送信している方法です。それは、企業のサイト上にある公式ニュースレターの登録フォームを使用するというものです。情報を入力するフィールドでは特別な記号を使うことができるようになっているため、ハッカーたちは企業の公式ニュースレター内に悪意のあるリンクを含んで送信することが可能です。すなわち、「Name（名）」フィールドに「Money for you（お金を稼げます）」などの言葉を、「Last name（姓）」フィールドにフィッシングサイトへのリンクを入力して、被害者が購読の確認を求める企業の公式アドレスからメールを受けとるようにします。

メール内のリンクを開く際は十分に注意し、疑わしいサイトに個人情報を残さないよう気を付けるようにしてください。