巧妙な戦術: ハッカーが Microsoft 365 管理ポータルを悪用してセクストーション詐欺を実行
サイバー犯罪者は、Microsoft 365 管理ポータルを悪用してスパム フィルターを回避し、無防備な受信トレイにセクストーション メールを直接配信する巧妙な方法を考案しました。彼らは、通常は正当なサービス更新のために予約されているプラットフォームである Microsoft 365 メッセージ センターを利用して、偽のメッセージを拡散します。ハッカーは、その「共有」機能を利用して、自分たちの通信が Microsoft からの本物の更新であるという幻想を作り出します。
セクストーション計画が明らかに
これらの詐欺メールの内容は不安を掻き立てます。多くの場合、あなたのデバイスが侵害されたことや、送信者が機密性の高い状況でのあなたのビデオや画像などの有罪を示す資料を所有していることが主張されています。詐欺師はビットコインでの支払いを要求し、要求が満たされなければこの資料を公開すると脅迫します。正規の Microsoft メール アドレスを使用すると信憑性が増し、脅迫の信憑性が高まります。
セキュリティ対策の回避
これらのメールの特徴は、従来のメール セキュリティ対策をすり抜ける能力です。通常、このような詐欺はスパム フィルターによって検出され、フラグが付けられます。しかし、これらのメッセージは検証済みの Microsoft アドレス、具体的にはo365mc@microsoft.comから発信されているため、検出を逃れます。この巧妙な信頼操作により、状況は大幅に危険になります。
技術的な脆弱性を悪用する
攻撃者は、Microsoft 365 メッセージ センターの共有機能内の「個人メッセージ」フィールドを利用しました。このフィールドは短い説明文を入力できるように設計されており、通常は最大 1,000 文字までしか入力できません。しかし、ハッカーはブラウザー開発者ツールを使用してHTMLテキストエリア要素のmaxlength属性を操作する方法を発見し、この制限を超えることができました。その結果、ハッカーは、切り捨てられることなく処理され送信される長いセクストーション メッセージを含めることができます。
セキュリティ監視とユーザーの認識
この状況は、Microsoft のセキュリティ プロトコルに関する深刻な懸念を引き起こします。これは、「ユーザー入力を決して信用しない」という基本的なサイバー セキュリティ原則を損ねるからです。文字数制限などのクライアント側の検証への依存は、サーバー側のチェックがない場合には不十分であることが判明しています。そのため、電子メール システムは、変更された詐欺メッセージを無意識のうちに処理して送信します。
脅威を認識する
詐欺師が巧妙な戦術を駆使しているにもかかわらず、ユーザーはこれらのメールを詐欺行為として認識することが重要です。Bleeping Computerの報告によると、Microsoft は現在この深刻な問題を調査中です。ただし、この悪用に対抗するための効果的なサーバー側の予防策はまだ実装されていません。
高度なセクストーション詐欺の増加
最近、Microsoft Answers フォーラムで、セクストーションメールの恐ろしい例が共有されました。そのメッセージには奇妙な記号や受信者の生年月日などの個人情報が含まれており、信憑性が高まっていました。そのメールは、48 時間以内にビットコインで支払わなければ、不適切な映像を公開すると脅迫していました。
セクストーション詐欺は目新しいものではないが、より巧妙な手口に進化している。こうした詐欺の大部分は、西アフリカの「Yahoo Boys」などの悪名高いグループによって組織化されており、彼らはTikTokやYouTubeなどのプラットフォームで指導ガイドを共有することで知られ、特にInstagramやSnapchatなどのソーシャルメディアプラットフォームを利用する10代や若者をターゲットにしている。
コメントを残す