洗練されたフィッシングキャンペーンは、移民労働者と学生を後援する英国の組織をターゲットにしており、政府のスポンサーシップ管理システム(SMS)内の資格を妥協するために本物のホームオフィスブランディングを活用しています。 Mimecastの脅威研究チームによって特定されたこのキャンペーンは、英国の移民システムに重大な脅威をもたらし、潜在的に広範な財政的搾取とデータの盗難につながる可能性があります。
SMSは、労働者および一時的な労働者のカテゴリでビザを後援する雇用主にとって、また学生と子のカテゴリのビザを後援する機関にとって重要なプラットフォームです。その主な機能には、将来の従業員または学生のスポンサーシップ証明書の作成と割り当ての管理、およびスポンサー付き移民の状況の変化を報告することが含まれます。攻撃者の目的は、さまざまな違法な財政的利益のためにこのシステムへの不正アクセスを獲得することです。
Hiwot MendahunのSamantha Clarke、MimecastのAnkit Guptaによると、キャンペーンは公式のホームオフィスコミュニケーションに綿密になりすましている不正なメールを採用しています。これらのメールは通常、一般的な組織のメールアドレスに送信され、コンプライアンスの問題やアカウントの停止に関する緊急の警告を伝えます。メッセージには、受信者をリダイレクトする悪意のあるリンクが含まれており、ユーザーIDとパスワードを収穫するために設計された非常に説得力のある偽のSMSログインページが含まれています。
Mimecastのテクニカル分析では、初期フィルタリングメカニズムとしてのCaptchaに依存したURLを使用するなど、攻撃者の高度な方法が明らかになりました。これに続いて、本物のSMSログインポータルの直接クローンである攻撃者制御のフィッシングページへのリダイレクトが続きます。これらのクローン化されたページには、盗まれたHTML、英国の公式政府資産へのリンク、およびフォーム提出プロセスへの最小限の重要な変更が組み込まれています。 Mimecastチームは、「脅威関係者は、英国の移民システム内の政府コミュニケーションパターンとユーザーの期待に関する高度な理解を示している」と述べました。
このフィッシング攻撃の目標は2つの目標であるように見え、英国と移民自身への移民を合法的に後援する両方の組織を対象としています。攻撃者がSMS資格情報を妥協すると、複数の収益化目標を追求します。主な目的は、偽のスポンサーシップ証明書(COS)の発行を促進するために、Dark Webフォーラムで侵害されたアカウントへのアクセスの販売です。彼らはまた、侵害された組織に対して強要攻撃を直接行うことを目指しています。
より陰湿で潜在的に有利な搾取の道は、偽の求人とビザスポンサーシップスキームの作成を伴います。 Computer Weeklyは、英国に移動しようとする個人の一部は、かなりの金額を詐欺されており、一見合法的なビザと具体化されていない求人で最大20,000ポンドの損失を示すレポートで、かなりの金額を詐取していることを理解しています。
このキャンペーンに応えて、Mimecastは、電子メールセキュリティプラットフォーム内に包括的な検出機能を既に実装して、関連する受信電子メールを識別およびブロックしています。同社は、これらの脅威に関連する新しい開発について引き続き監視しています。
SMSサービスを利用している組織には、Mimecastはセキュリティ姿勢を強化するためのいくつかの重要な手順を推奨しています。
- 電子メールセキュリティ機能を展開: 政府のなりすましと疑わしいURLパターンを検出できるソリューションを実装します。これには、ユーザーの相互作用の前にリンクを分析するためのURL書き換えとサンドボックスが含まれます。
- マルチファクター認証を施行(MFA): SMSアクセスのためにMFAを確立して実施します。また、組織はこれらの資格情報を頻繁に回転させ、SMSアカウントを監視して、異常なアクセスパターンまたはログイン場所を監視する必要があります。
- 包括的なトレーニングを提供する: 本物のホームオフィスコミュニケーションと公式の電子メールドメインでSMSアクセスを持つスタッフを教育します。行動を起こす前に緊急通知を検証することの重要性を強調します。これは、一般的なフィッシングアウェアネスのトレーニングとシミュレーションと結合する必要があります。
- 検証手順を実装します: すべてのSMS関連の通信に対して堅牢な検証手順を設定します。 SMSの妥協は既存のインシデント応答プロトコルに組み込まれ、可能であれば、SMSの義務を分離して、単一の発売シナリオを防止します。
