1.はじめに
ポータブルなペンテストツールとしてオンラインストアで200ドルに販売されている Flipper Zero は、最近ペネトレーションテスターとハッカーの間では品切れの人気商品です。まるでたまごっちのような見た目をしているため、「ハッカー向けたまごっち」と呼ばれるこのツールは各種セキュリティコミュニティ、TikTok、Twitter、Telegramなどにレビューされてから人気が高まり、オンラインストアはほぼ毎日売れ切りの状態です。その隙を狙うフィッシング攻撃者が Flipper Zeroのフィッシング サイトを公式販売サイトのように見せかけ、ビットコインなどの仮想通貨を払うようにするというニュース が最近Bleeping Computerの記事で報道されました。むろん、購入者はFlipper Zeroをもらえません。一般人でもなく、なんとハッカーとペネトレーションテスター、セキュリティ研究員を対象としたこのフィッシング詐欺は、売れ切る前に買っておきたい被害者の心理を利用します。
2.Flipper Zero - 公式 vs フィッシングサイト
URLとファビコンまで巧妙に公式ストアと同じく作っておいたフィッシングサイトは肉眼では見分けることは難しいです。Twitter、Telegramなどで知られているFlipper Zeroの詐欺販売サイトにアクセスし、確認してみました。
左側が本物のFlipper Zeroのオンラインストアの販売ページで、右側は偽物だと知られている Flipper Zeroのフィッシング サイトの販売ページです。公式ストアをよく使う購入者はサイトがおかしいと直ちに気づけるだろうが、そうではない人はフィッシングサイトを気付くことは難しそうです。
3.偽Flipper Zero販売サイトを見分ける方法
Flipper Zeroのフィッシング サイトと公式販売サイトを綿密に調べるとURL、ロゴ、ページUIなどの違うところを確認することができますが、それよりもっと正確で早く確認する方法は、OSINT検索ツールを用いることです。
Criminal IPのドメイン検索でTwitter、コミュニティなどにフィッシングだと知られていないFlipper Zeroのフィッシングサイト2つを検索してみました。
flipperzerovendoronline[.]com の検索結果 ▶ https://www.criminalip.io/ja/domain/report?scan_id=2878623
flipperzeroinstock[.]net の検索結果 ▶ https://www.criminalip.io/ja/domain/report?scan_id=2880403
フィッシングサイトのURLを検索した結果、悪性ドメインとして判断され、フィッシングのアルゴリズムは50%以上で判断されました。
特に、検知された項目の中で「新規ドメイン」情報を見ると、この投稿を作成している時点でわずか1ヶ月半前に生成されたドメインに見えます。 Flipper Zeroのフィッシング サイトが今までも生じ続けることから、攻撃と被害が続くことを予想できます。
フィッシングを検知する方法の中には利用者の通報、Google検索、フィッシング・チェックサイトを使う方法もありますが、このような方法は既に知られているフィッシングサイトだけ見分けすることができます。生成されたばかりのフィッシングサイトは、実際の被害者が多数発生する前には検知しにくいです。
また他の Flipper Zeroフィッシングサイト のドメイン検索スキャンの結果を見ると、リアルタイムのサイトスクリーンショット、使用された技術および繋がったIPアドレスの悪性可否を確認できます。
4.おわりに
Flipper Zeroフィッシング 攻撃の対象はハッカー、ペネトレーションテスターにとどまりません。動画プラットフォームのTikTokでは今も多くのレビュアーがFlipper Zeroを使って興味深そうに見えるハッキングコンテンツを掲げて数千~数百万の再生数を得ています。
情報セキュリティのコミュニティでない一般的なプラットフォームを通じて拡散されているほど、偽販売サイトの点検方法を確認し、被害を予防する必要があります。
また、このような被害が続くのは、セキュリティ関係の人以外の一般インターネットユーザーにもOSINT検索エンジンを活用したフィッシング予防法が必要な理由の一つとも言えます。