【CODE BLUE 2024】マンガタス・トンダン / Mangatas Tondang - 講演関連資料 / Presentation resources

2025年2月19日 11:38

●講演概要 / Abstract

[ja] V フォー・ヴェンデッタ：フィッシング被害を受けた後のグローバル・フィッシング・プラットフォームの解剖

現代のデジタル環境において、Webやモバイルアプリケーションの公式チャット機能を利用したフィッシング攻撃は、重大な脅威をもたらしている。ユーザーやプラットフォームを守るためには、これらの脅威を理解し対策を講じることが最も重要である。本講演では、2つの疑わしいチャットメッセージを受け取った個人的な経験を起点に、広範なフィッシング・キャンペーンの調査にいたった経緯を詳しく解説する。
その疑わしいメッセージにより、フィッシング・キャンペーンの性質と規模を深く探ることとなった。この調査により、攻撃者が使用した戦術・標的・手法が明らかになり、特に旅行業界での攻撃が顕著であったことが判明した。また、情報窃取（InfoStealer）マルウェア攻撃の発見により、公式旅行アカウントから顧客情報が盗まれたことが明らかになった。
このフィッシング・キャンペーンが拡大し、eコマース・プラットフォームを標的にし始めたことで、戦術は適応したが、その中に共通する特徴も残されていた。さらなる調査により、類似のフィッシング攻撃で狙われた他のプラットフォームに関する発見もあり、キャンペーンの広範な影響が確認された。
フィッシング・プラットフォームのソースコードを詳細に分析した結果、その機能が明らかになり、特にイタリア語圏を含むヨーロッパ諸国が主な標的となっていること、信憑性の高いフィッシングページの生成、チャット機能の統合、取引の検証メカニズムなどが確認された。さらに、Telegramとの統合や複数のオペレーターの存在により、フィッシング・プラットフォームのビジネスモデルや運用戦略が浮き彫りになった。
このフィッシング・プラットフォームは、Telekopye Telegram詐欺の管理プラットフォームとして機能している可能性が高く、これらの攻撃の背後にあるネットワークと動機が明らかになった。
最後に、ユーザー、取引業者、プラットフォームのセキュリティ・エンジニアがセキュリティ体制を強化し、フィッシング攻撃の被害を防ぐための実践的な推奨事項を提供する。継続的な警戒と協力の重要性を強調し、調査から得られた主要な発見と洞察をまとめて本講演を締めくくる。

codeblue.jp

[en] V for Vendetta: Dissecting a Global Phishing Platform After Being Phished

In today’s digital landscape, phishing attacks conducted through official chat functionalities in web and mobile applications pose a significant threat. Understanding and countering these threats are paramount to safeguarding users and platforms alike. This presentation delves into a personal account of receiving two suspicious chat messages, triggering an investigation into a widespread phishing campaign.
The curiosity and concern sparked by the suspicious messages prompted a deeper dive into the nature and extent of the phishing campaign. The investigation revealed critical insights into the tactics, targets, and methods employed by the attackers, particularly within the travel industry. Additionally, the discovery of an InfoStealer malware attack shed light on the theft of valuable customer information from official travel accounts.
As the phishing campaign expanded its scope to target e-commerce platforms, the tactics adapted while retaining distinct similarities. Further exploration uncovered findings related to other platforms targeted by similar phishing attacks, underscoring the campaign’s broad impact.
A detailed source code analysis of the phishing platform unveiled its capabilities, including the targets that are majority European countries (including Italian speakers), the generation of convincing phishing pages, integration with chat functionality, and verification mechanisms for transactions. The platform’s integration with Telegram and the presence of multiple operators shed light on its underlying business model and operational strategies.
Discoveries indicated that the phishing platform likely serves as the management platform for the Telekopye Telegram scam, revealing interconnected networks and motives underlying these attacks.
Practical recommendations are provided for users, merchants, and platform security engineers to enhance security posture and mitigate the risk of falling victim to phishing attacks. Emphasizing ongoing vigilance and collaboration, this presentation concludes by summarizing key findings and insights gained from the investigation.

codeblue.jp

●略歴 / Bio

[ja] マンガタス・トンダン

マンガタス・トンダンは、あらゆるメディアでの検知エンジニアリングと脅威ハンティングに情熱を持っている。彼はグローバル・テクノロジー企業のセキュリティ・リサーチャーであり、オープンソース・プロジェクトやセキュリティ・コミュニティに積極的に貢献している。

codeblue.jp

[en] Mangatas Tondang

Mangatas is passionate about detection engineering and threat hunting, in all medium you can think of! He is a security researcher in global technology company and actively contributing to open source project and security community

codeblue.jo

●事前インタビュー / Pre-Event Interview

[ja] インタビュー

Q1 あなたがこのトピックに取り組むようになったきっかけは何ですか？
今回の研究は、これまでとは少し異なり、より身近に感じられるものです。実は、私は予約アプリを通じてフィッシング詐欺の被害に遭いかけたことがあります。驚かれるかもしれませんが、それも1回ではなく、2回もです! 2つの異なる国にあるホテルがそれぞれ被害を受けていました。この出来事がきっかけで、どうしてこんなことが起こったのか、さらに深く調べたくなりました。それに、自分でさえも騙されそうになったのなら、サイバーセキュリティの知識がない人はどうやって防げるのだろう、と考えるようになりました。

Q2 研究の過程でどのような点で苦労しましたか?
脅威インテリジェンスはサイバーセキュリティにおいて私の得意分野というわけではないため、これらの脅威を深掘りする際にはいくつか知識の不足を感じました。しかし、正直なところ、これは最高の学習経験の1つとなりました! 私の研究に対するフィードバックを受け取ったり、さまざまな脅威インテリジェンスプロジェクトをまとめたりする中で、素晴らしい人々と協力することができました。また、Web開発のスキルも磨き、そのおかげでフィッシング用のWebページがどのように機能しているのかを理解する助けとなりました。

Q3 CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
このようなフィッシング攻撃の新たな波が、信頼できるアプリのメッセージ機能などを通じて、ユーザーやプラットフォームを簡単に標的にできるということを人々に明確に理解してもらいたいと考えています。ユーザーとしてこれらの詐欺に遭う前に見破る方法を学ぶことができます。しかし、本来の責任はこれらのアプリの開発者にあります。進化する脅威からユーザーを守るプラットフォームを設計することが重要なのです。私たちは協力して、誰にとってもより安全な体験を構築すべきですし、それが可能だと思います。

[en] Interview

Q1 What led you to making this presentation?
This research feels different from anything I’ve done before—it hits a bit closer to home. I actually got hit with not one, but two phishing attempts through a booking app! Pretty wild, right? Two separate hotels in two different countries got compromised. It definitely made me more curious to dig deeper into how this all happened. It also got me thinking—if even I almost fell for it, what chance does someone without a cybersecurity background have?

Q2 What were some challenges you faced during this research?
Threat Intelligence isn't exactly my go-to area in cybersecurity, so there were definitely some knowledge gaps when it came to digging into these threats. But honestly, this turned out to be one of the best learning experiences! I got to collaborate with some amazing people, from getting feedback on my research to piecing together different Threat Intel projects. I’ve also sharpened my web development skills, which really helped me understand how those phishing web pages operate.

Q3 What message would you like to convey to those considering attending this talk?
I want people to walk away with a clear understanding of how these new waves of phishing attacks can easily target both users and platforms, even through trusted apps features such as messaging. As a customer, you’ll learn how to spot these scams before they get you. But the burden should be on the developers of these apps. It’s about designing platforms that can better protect users from these evolving threats. Together, we can and we should build a more secure experience for everyone.