すべてのフィッシングサイトのほぼ4分の3がSSL保護を使用しています

2019年10月から12月に世界中でフィッシング対策ワーキンググループ（APWG）によって検出されたフィッシングサイトの総数は、2019年7月から9月に記録された過去最高の266,387の攻撃に続き、162,155でした。

しかし、最も脅威的だったのは、サイバー犯罪組織が示した傾向でした。
主要な経営幹部による企業リソースへの広範なアクセス、より高度な支払い権限を活用するための高度なBusiness Email Compromise(BEC)攻撃が行われました。

その他の興味深い発見

2019年はオンラインユーザーにとって記録上最も危険な年の一つでした。
2019年の間に、ブラジルでのフィッシング詐欺の件数は232%増加しました。APWGのメンバー企業であるAxurは、ブラジルでポルトガル語で利用可能なブラジルのブランドやサービスに対するこれらの攻撃を記録し、ブラックフライデーのショッピング週末前後に増加したことを指摘しました。

同様に、APWGのメンバー企業Agariは、ビジネスメール詐欺(BEC)を実行し、ホリデーショッピングシーズン中にギフトカードを使って現金化する犯罪者を観測しました。

「攻撃者がギフトカードを入手することで得られる金額は、電信送金よりもはるかに少ない。第4四半期にBEC詐欺者が要求したギフトカードの平均額は1,600ドル以上でしたが、電信送金のBEC攻撃では、第4四半期に要求した平均額は55,000ドル以上でした。」と報告書は指摘している。

「第4四半期に目にした最も注目すべきことの1つは、リクエストされたギフトカードの種類の変更だ。
ギフトカードで最も多くリクエストされたのは依然としてGoogle Playだったが、リクエスト数では27%から15%に減少した。」とAgariの脅威研究のシニアディレクターであるCrane Hassold氏は言う。

「eBay、Target、Best Buy、Sephoraへのギフトカードのリクエストが増えた。この増加は、これらの企業がすべて現物商品を販売しており、攻撃がホリデーシーズン中に行われたことが原因である可能性があります。
これは、詐欺師がカードを使って物理的な商品を購入し、それを販売することで資金をマネーロンダリングしようとしていることを示している可能性があります。」

APWGのコントリビュータであるOpSec Securityは、第4四半期に毎月325社以上のブランド(会社)が攻撃されたと報告しています。
OpSec Securityの不正対策製品およびマーケティング・マネージャであるStefanie Wood Ellis氏によると、フィッシング攻撃の最も頻繁なターゲットは引き続きWebメール、支払い、銀行のサイトでしたが、「ソーシャルメディアを標的としたフィッシング詐欺は四半期ごとに増加し、2019年には倍増した。」とのことです。

より効果的なフィッシングのためのSSLの使用

APWGのメンバーであるPhishLabsの研究者らは、フィッシングWebサイトでSSL証明書の使用が増加していることを報告しました。
現在、フィッシングサイトの4分の3近くがSSLによる保護を利用している。
これは、2015年初頭に追跡が開始されて以来最高の割合であり、ユーザーがサイトの安全性を理解するためにSSLだけに頼ることができないことを示している。

APWGのメンバーであるRiskIQは、2019年第4四半期にAPWGに報告された2,149件の確認済みフィッシングURLを分析し、フィッシング詐欺で使用されている最もポピュラーなトップレベルドメインがcom、.org、.net、.infoであることを発見しました。

元記事
https://www.helpnetsecurity.com/2020/02/26/phishing-ssl/

—-
以前はSSL証明書の鍵マークが無いものは注意という話をしていたが、常時SSLを行うようになり詐欺側もSSL証明書を普通に導入するようになったということか。
Let's Encryptなど無償の証明書もあるからね。
さらにフィッシング詐欺サイトの見分けはつきにくくなるな。