標的型攻撃でのメール送信手口
(1)本物の業務メールを装って送る
添付したウィルスを開かせるために正規のメールだと思わせる
・実際にやりとりしている業務メールを盗んで、文面をお手本にする
盗んだメールと同じ宛先に、先のファイルの修正分を送りつける
ウィルスチエックを回避するために圧縮ファイルで送り付ける
受信者は送信者が同じなので修正が必要だとファイルを開く、ことになる
(2)何回かやり取りしてからメールを送る
無害のメールをやり取りした後にウィルス添付メールを送りつける
・組織が公開しているWebサイトの採用問合せアドレスにメールする
担当者のメールアドレスが分かったところで
履歴書に見せかけてウイルス添付のファイルを送信する
開かなければ成らない状況を作り出す
受信者は今までと同じ送信者なので安心してファイルを開く、ことになる
・製品に関する質問や不具合の報告であったりするメールも多い
・組織の不正に関する告発メールだったりもする
(3)安全なファイルに見せかけてメールを送る
実行形式のファイルを安全なファイルだと思わせる
・RLO(Right-to-Left Override)を使ってファイル名を偽装する
アラビア文字用の制御文字で、文字を右から左に表示する
例:abcdef[RLO]fdp.exe のファイルは abcdefexe.pdf と表示される
受信者は安心してファイルを開く、ことになる
・ショートカットファイルの形式でメールに添付する
通常リンク先はファイルだが、javascript等のプログラムを指定する
ショートカットファイルの拡張子(lnk)は表示されないので注意が必要
(4)Webサイトを水飲み場にする
狙った組織の正規Webページを改竄して、アクセスした際にウィルスに感染させる
・標的とした組織の従業員がアクセスしそうなサイトを狙う
アクセスログを分析してWebサイトに当たりを付ける
脆弱性を突いてウィルスを仕込んでおく
コメントを残す