シンガポールのリテールバンキング機関は、フィッシング攻撃のリスクを軽減するために、オンラインアカウントへのログイン時の認証に使用されるワンタイムパスワード（OTP）の使用を3ヶ月以内に段階的に廃止する必要があります。

この決定は、2024年7月9日にシンガポール金融管理局（MAS）とシンガポール銀行協会（ABS）によって発表されました。

「デジタルトークンをモバイルデバイスに有効化した顧客は、ブラウザまたはモバイルバンキングアプリを通じて銀行アカウントにログインする際にデジタルトークンを使用する必要があります」とMASは述べています。

「デジタルトークンは、詐欺師が盗むことができるOTPや顧客に開示を強要することなく、顧客のログインを認証します。」

MASはまた、顧客にデジタルトークンを有効化するよう促し、資格情報を盗んでアカウントを乗っ取るための攻撃から保護するよう呼びかけています。

「この措置は、顧客の銀行アカウントへの不正アクセスに対するさらなる保護を提供します」とABSのディレクターであるオン・アン・アイ・ブーン氏は声明で述べています。「いくつかの不便を引き起こす可能性がありますが、こうした措置は詐欺を防ぎ、顧客を保護するために必要です。」

OTPは元々、アカウントセキュリティを強化するための第二要素認証（2FA）として導入されましたが、サイバー犯罪者は、類似サイトを使用してこれらのコードを収集するバンキングトロイの木馬、OTPボット、およびフィッシングキットを開発しました。

OTPボットは、Telegramを通じて100ドルから420ドルで宣伝され、社会工学を次のレベルに引き上げ、ユーザーに電話をかけて2FAコードを入力させ、アカウント保護を回避するのを助けるように説得します。

これらのボットは主に被害者のOTPコードを略奪するように設計されており、詐欺師はデータ漏洩、ダークウェブでの販売されているデータセット、資格情報収集のウェブページなど、他の手段を通じて有効な資格情報を取得する必要があります。

「OTPボットの主要な役割は被害者に電話をかけることです。詐欺師は検証コードが有効な時間が限られているため、電話をかけることに依存しています」とカスペルスキーの脅威研究者オルガ・スヴィストゥノワ氏は最近の報告で述べています。

「メッセージがしばらく未読のままになる可能性があるのに対し、ユーザーに電話をかけることでコードを取得する可能性が高まります。電話はまた、声のトーンで被害者に望ましい効果を与える機会でもあります。」

先週、SlashNextは、「教育目的のみ」とされているが、フィッシングキャンペーンを大規模に実行することを目指す初心者の脅威アクターに対して防御を回避するための「エンドツーエンド」フィッシングツールキット「FishXProxy」の詳細を明らかにしました。

「FishXProxyは、サイバー犯罪者に多層的なメールフィッシング攻撃のための強力な武器を提供します」と同社は述べています。「キャンペーンは、初期の精査を回避するために一意に生成されたリンクや動的な添付ファイルから始まります。」

「被害者は次に、CloudflareのCAPTCHAを使用した高度なアンチボットシステムに直面し、セキュリティツールをフィルタリングします。巧妙なリダイレクトシステムは実際の目的地を隠し、ページの有効期限設定は分析を妨げ、キャンペーン管理を支援します。」

FishXProxyのもう一つの注目すべき追加機能は、異なるフィッシングプロジェクトやキャンペーンを通じてユーザーを識別し追跡するためのクッキーベースの追跡システムです。また、HTMLスモーリング技術を使用して、悪意のあるファイル添付を作成し、検出を回避することも可能です。

「HTMLスモーリングは、HTML5とJavaScriptの合法的な機能を悪用し、異なる形式のエンコーディングや暗号化を利用するため、メールゲートウェイやウェブプロキシなどの境界セキュリティコントロールを回避するのに非常に効果的です」とCisco Talosは述べています。

近年のモバイルマルウェアの増加に伴い、Googleはシンガポールで新しいパイロットプログラムを開始し、OTPを読み取るためのAndroidアプリの権限を悪用し、機密データを収集する特定のアプリのサイドロードを防止することを目指しています。