ソーシャル メディアはマーケティングで広く利用されており、企業が潜在顧客を引き付ける広告を作成するのに役立ちます。しかし、「広告は一時的に停止されています」というメールを受け取ったらどうしますか? どのような手順を踏みますか? メールの緊急性にすぐに注意が引かれ、クリックして調べ、すぐに修正されることを願うのが最初の考えかもしれません。しかし、問題を解決する代わりに、ビジネス アカウントがハッキングされる可能性があります。Cofense Phishing Defense Center (PDC) は、ユーザーを騙して Meta Business アカウントへのアクセスを許可する新しいフィッシング キャンペーンを発見しました。ソーシャル メディアでのフィッシング攻撃は蔓延��していますが、この攻撃は偽のチャット サポートを使用し、詳細な手順を提供し、安全なログイン方法として追加しようとするなど、さらに一歩進んでいます。 
図 1: 悪意のあるメール
フィッシング キャンペーンは、被害者が「サポート ID: #xxxx - アカウントの重大な広告制限」というテーマの偽の Instagram アラートを受信することから始まります (図 1 を参照)。アラートには、ユーザーが広告法に違反しており、Instagram のポリシーと EU GDPR に言及し、その結果広告が停止されたことが記されています。これは、これらの Instagram/Meta なりすまし認証情報フィッシング メールでよく見られるテーマです。この問題を解決するには、ユーザーは [詳細を確認] ボタンをクリックするように求められます。特に、広告にソーシャル メディア プラットフォームを利用する企業が増えているため、これがユーザーを騙す可能性があることは容易に想像できます。これは深刻かつ緊急の懸念事項です。日常業務に支障をきたし、これらの企業が潜在的顧客を失う原因となる可能性があるからです。ただし、from アドレスは Instagram の公式サポート メール (support@instagram[.]com) ではなく (noreply@salesforce[.]com) から送信されていることに注意してください。メール内の [詳細を確認] ハイパーリンクをクリックすると、ユーザーは不正なページにリダイレクトされ、アカウントが停止および終了されるリスクがあることを通知されます (下の図 2 を参照)。これを正当な Meta Business ページと比較すると、ほとんどの人は何も異常はないと思うでしょう。しかし、ブラウザのアドレス バーの URL をさらに確認すると、正当な Meta ドメインではなく (businesshelp-manager[.]com) であることがわかります。
図 2: 初期感染 URL ランディング ページ
「レビューをリクエスト」ボタンをクリックすると、ユーザーはチャット サポート エージェントに進むために名前とビジネス メール アドレスを入力するよう求められます (下の図 3 と 4 を参照)。これは別のページに進み、そこでフィッシング攻撃の残りの部分が実行されます。当社の分析によると、攻撃者は Meta の認証アプリ機能を使用して「セキュア ログイン」として登録することで、Business Meta アカウントを乗っ取ろうとしています。攻撃者は、偽のテクニカル サポート チャットボットまたはステップ バイ ステップの手順が記載された「セットアップ ガイド」という 2 つの異なる方法でこれを実行します。
図 3: ランディング ページ - チャットボット情報フォーム
図 4: チャットボット - 最初の会話パート 1
脅威アクター (TA) は、以下の図 5 に示すように、ユーザーのビジネス アカウントに 2 要素認証 (2FA) を追加するための手順ガイドも提供しています��。これは、チャットボットのフィッシング攻撃が失敗した場合に TA が使用する二次的なアカウント乗っ取り方法です。この方法は、ユーザーのアカウントを「修正」するための DIY 方法を模倣しています。これにアクセスするには、表示されている「アカウント ステータスの表示」をクリックします (ページの中央右側)。すると、「システム チェック」を開始して問題を自分で修正する方法の詳細な手順が表示されます。ユーザーの観点からは、サポート チャットボットに対処する代わりに、アカウントをより速く修正できます。しかし、与えられた手順をエミュレートすると、攻撃者はハッカーの認証アプリ「SYSTEM CHECK」を介して Business Meta アカウントにログインする別の方法を手に入れ、脅威アクターは複数の方法でアカウントを乗っ取ることができます。*
*
* 
*
図 5: 2 要素認証 (2FA) を追加するための手順
テスト中に、ハッカーのビデオ手順のコピーを入手できました。このビデオでは、ユーザーをだまして 2 要素認証 (2FA) として追加させる方法が詳しく説明されています (下のビデオを参照)。
このフィッシング キャンペーンがユーザーから情報を盗むために使用する主な戦術は、偽のサポート チャットボットを使用することです。被害者が偽のサポート クライアントとチャットすることを選択した場合、最初にビジネス アカウントについて尋ねられます。攻撃者は、被害者をスクリーニングする方法として、ユーザーのビジネス アカウントのスクリ�ーンショットを要求することさえあります。攻撃者は適切と判断した場合、被害者に「システム チェック」を実行する方法を説明します。サポート チャットの最初の対話は、以下の図 6 に示されています。エージェントは、通信が切断された場合に備えて、フェイルセーフとして連絡先番号も尋ねます。被害者が偽のチャット サポートを続行する場合、Facebook のビジネス ページ設定に移動してスクリーンショットを提供するように求められます。次に、チャット エージェントは、ユーザーが特定の広告基準に違反したため、アカウントが停止されることを説明します。次に、TA はユーザーの個人情報を確認し、個人情報ページのスクリーンショットを提供するように求めます。以下の図 7 と 8 に、一般的なチャットの流れを示します。
図 6: チャットボット - 最初の会話パート 2
.PNG "metablog_Figure-6-(1).PNG")
図 7: チャットボット - ビジネス ページスクリーンショット
図 8: チャットボット - フラグ理由と個人情報のスクリーンショット
チャット サポートからのすべての指示に従った後、ユーザーは「システム チェックをアクティブ化」をクリックするように求められます。ボタンをクリックすると、ページが��再読み込みされ、以下の図 9 と 10 に示すように、ユーザーに Facebook パスワードの入力を求めます。
*図 9: チャットボット -- システム チェックの有効化
*
.PNG "metablog_Figure-10-(2).PNG")
図 10: Meta フィッシング ページ
このフィッシング キャンペーンは、企業がソーシャル メディアの認証情報を保護する上で直面する脅威が進化していることをはっきりと思い出させるものです。ユーザーは積極的に注意を払い、応答する前にすべての通信を検証する必要があります。このキャンペーンは、電子メールやランディング ページが正規の通信に非常によく似ており、細部にまで気を配っていることがわかります。さらに、ライブ エージェント サポートを含めることで、欺瞞の層がさらに追加され、ユーザーは Meta の公式サポート チームとやり取りしていると信じてしまいます。必ず時間をかけて送信元を確認し、何らかの行動を起こす前に URL を慎重に調べてください。フィッシングの手口は進化し続けているため、潜在的な被害を防ぐために、ユーザーは警戒を怠らず、疑わしいアクティビティを速やかに報告することが重要です。