破産したセルシウス・コインのフィッシング攻撃、リアルタイムURLスキャンで検知

最近、破産した暗号通貨貸出企業のセルシウス・ネットワーク(Celsius Network)の債権者をターゲットとしたセルシウス・コイン関連のフィッシング攻撃が発生しています。セルシウス・ネットワークは独自発行のCELコインを使用し、ビットコイン、イーサリアム等の多様な暗号通貨をセルシウスのウォレットに預け入れて利益を得たり、預け入れた資金を担保にしてローンを組めるプラットフォームです。2022年7月に破産したセルシウスによって セルシウス・コインの引き出しが制限された債権者は資金回収の請求代理人である「Stretto」に投資した資金の払い戻しを要請しています。

このような状況に置かれたセルシウス・コインの投資者を対象としたフィッシング攻撃はStrettoのフィッシングメールとフィッシングサイトから始まりました。セルシウス・コイン関連のフィッシング被害者は、no-reply@stretto.com というメールアドレスで「債権者に引き出しが制限された資金を請求できる7日間の期間を提供する」と主張するメールを受信したそうです。フィッシングメールの本文には、資金の払い戻し請求のためのウェブサイトとして case-stretto[.]com というリンクが案内されており、クリックすると claims-stretto[.]com という Strettoのフィッシングサイト にアクセスされます。

セルシウス・コイン 関連のフィッシング攻撃のために
制作されたフィッシングメール(出典:BleepingComputer)


URLスキャンで セルシウス・コイン のフィッシングサイトを検知する方法

以下は現在 セルシウス・コイン の債権者に送信されている偽造された Strettoのフィッシングサイト と本物のStrettoのウェブサイトを比べたものです。実際のStrettoウェブサイトは https://cases.stretto.com/celsius/claims/ にアクセスすると確認できます。

一見すると、本物のStrettoサイトとの区別が難しく、ウェブサイトのURLも実際のサイトと類似な形をしていて区分しにくいです。


左のセルシウス・コインのフィッシングサイトと右の本物サイトを比較したイメージ


このフィッシングサイトにアクセスすると、暗号通貨のウォレットに連動するようにポップアップウィンドウが表示されます。そこでウォレットを連動すると、ハッカーは連動された暗号通貨ウォレットの情報や資産を奪取できるようになります。

Strettoのフィッシングサイトにアクセスした際に表示される
暗号通貨ウォレットの連動ポップアップウィンドウ


このように巧妙に企んだフィッシング攻撃はスパムフィルターをバイパスするようになっており、スパムとは表示されません。なので、フィッシング攻撃を予防するためにはメールに挿入されているリンクを疑うしかありません。

リアルタイムURLスキャナーに セルシウス・コイン 関連のフィッシングウェブサイトのリンクを検索してスキャンした結果は以下のようです。



Criminal IPのドメイン検索のセルシウス・コイン関連の
フィッシングサイトのURLスキャン結果


リアルタイムURLスキャンの結果、99%の危険レベルに分類されました。フィッシング確率は56.7%で、ドメイン生成の時期と位置情報からみると、実際のウェブサイトとは言えません。

怪しいHTMLの構成要素と偽のファビコンも使用されたように見えます。

Criminal IPのリアルタイムURLスキャンの結果、セルシウス・コイン関連の
フィッシングサイトのスクリーンショットが表示される


また、Criminal IPのリアルタイムURLスキャンレポートでは直接ウェブサイトにアクセスせずにもウェブサイトのリアルタイムスクリーンショットを確認できます。セルシウス・コイン関連のフィッシングサイトのようにハッカーによって作られたウェブサイトはアクセスするだけでもマルウェア感染など、危険な目に合う可能性があります。


暗号通貨関連のフィッシング攻撃を予防する方法

セルシウス・コイン関連のフィッシングメールを受信した場合、フィッシング攻撃についての最新のニュースを参考し、自分でメールの真偽を判断すべきですが、巧妙なトリックのため、簡単に判断するのは難しいです。

巧妙なフィッシング攻撃を最大限に予防するためには、受信したメールに含まれた怪しいリンクをクリックする前にCriminal IPのようなURLスキャンツールを使用しなければなりません。毎度スキャナーにリンクを入れて検査することが難しければ、フィッシングブロックのChrome拡張機能をブラウザに設置し、悪性リンクへのアクセスを自動でブロックすることをお勧めします。

関連しては メタマスクのGoogle広告フィッシングサイトを検閲する方法についての投稿 をご参照ください。


当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。

只今Criminal IPの無料アカウントを作成すると、レポートに引用された検索結果を自ら確認するか、より膨大な脅威インテリジェンスを自由に検索いただけます。


データの提供:Criminal IP (https://www.criminalip.io/ja)

ご参照:https://blog.criminalip.co.jp/posts/42020783

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

  • 1000 / 1000