スマホユーザーをねらうフィッシング詐欺が増えている
正規のサービスなどをよそおったメールで、ニセのサイトに誘導させ、クレジットカード情報やログイン情報(IDとパスワードなど)を盗み出す「フィッシング詐欺」。誘導するフィッシングサイトは、銀行やクレジットカード会社、オンラインゲームのサービスなどが多い。
最近では、「LINE」「メルカリ」のような有名なサービスになりすます例が報告されている。 「サービスが変更になります」などとして、ニセのウェブサイトに誘導し、アカウント情報やクレジットカード情報を入力するようにうながす文面になっている。
もちろん、フィッシングサイトはニセモノなので、認証情報を入力してはいけない。本物だと思わせて個人情報をだまし取るのが、悪意ある攻撃者の目的なのだ。
一昔前はパソコンを使っている人を標的にしたものが多かったが、スマートフォンをだれもが持っている今日においては、スマホユーザーや、SMS機能に目を付けた手口も増えてきている。
たとえばウェブサイトを閲覧中に「当選しました」のような虚偽のメッセージなどを表示し、景品を受け取るためと称してクレジットカード番号をだまし取るようなパターンがあるほか、宅配便の再配達と称するSMSで、ニセのサイトに誘導する例もある。
近年のフィッシング詐欺で増加しているのは、虚偽のメッセージから不正なアプリをインストールさせる手口だ。一例として、2018年に発見された「TimpDoor」というマルウェアがある。
サイバー犯罪者はまずユーザーにSMSを送り、ニセのボイスメッセージアプリの配布サイトに誘導する。ニセのアプリをインストールすると、ファイアウォールやネットワークモニターなどのセキュリティー機能を迂回して、外部と通信するバックドア(不正な方法で情報を外部に送信したり、持ち主に気付かれずに外部からの侵入したりするための経路)がデバイスに作られてしまうのだ。
