それ悪質な詐欺。iPhoneに「パスワードをリセット」通知急増中
詐欺ってなくならないんです。パソコンやスマホを狙った攻撃もなくならないんです。だから、自分の身は自分で守るしかない! iPhoneユーザーを狙ったフィッシング詐欺、ただいま急増中です。
「パスワードをリセットしてください」
ウェブセキュリティの情報を提供するKrebs on Securityの最新レポートによれば、Apple(アップル)端末ユーザーを狙ったパスワード変更を促すフィッシング詐欺が増えているといいます。
詐欺の手口はこうです。iPhoneに「Apple IDのパスワードをリセットしてください」という通知が鬼のように大量に届きます。これ、システム系通知なので、通知の指示に従うか、拒否するか、ユーザーがいちいち選択しないと他の作業ができないのが悪質。
さらに悪質なのは、この通知が100件近く届いたという報告や、通知を拒否した後にAppleサポートを名乗る人から電話がかかってきたという報告が挙がっていること。電話がきたユーザーいわく、表示されていた電話番号は本物のAppleサポートの電話番号だったとのことですが、これもディスプレイにニセの電話番号を表示するトリックを介したもの。
ニセのAppleサポートを見破るのは困難
Thankfully I was tipped off that they used my data from People Data Labs in real time to validate a ton of information.
- Parth (@parth220_) March 23, 2024
Despite correctly stating all of my data, the phishers thought my name was Anthony S.
The reason I caught it is because, I’ve queried myself on… pic.twitter.com/dUMitmphKS
ニセAppleサポートから「パスワードをリセットするように」と電話が来たとXで報告したPatelさんは、なんとなく不審に思っていろいろと聞いてみたそうです。
すると、ニセサポートの答えは、彼の生年月日やメールアドレス、電話番号、住所まですべて大正解。彼が偽物だと見抜けた理由はただ1つ、彼の名前だけ間違っていたから。
Patelさん自身がいろいろと調べてみたところ、どうやらニセサポートは、データブローカーの人名検索サイトPeople Data Labsから情報を得ているようだと思い当たりました。
以前、このサイトで自分を検索したときに、Patelさんは他の人の情報と自分の情報が混ざって表示されていたことを確認しており、(自分の情報と紐付けられた間違った)名前と今回ニセサポートが答えた名前が一致していたとのことです。
もし詐欺にひっかかっていたら?
Patelさんは非常に慎重な上に、幸運なことに過去の経験から詐欺を見抜くことができた。が、引っかかってしまうことも多そうなフィッシング詐欺…。もし、騙されちゃったらどうなのでしょう。
Krebs on Securityいわく、パスワードリセットのニセ通知やニセサポートの電話にひっかかった場合は、ユーザーが端末から締め出されてしまう可能性があるとのこと。また、その場合、端末データをリモートで消去されてしまうリスクもあるといいます。
Krebs on Securityは、このフィッシング詐欺はAppleのパスワードリセットの仕様にあるバグを突いたのではないかと予想しているものの、詳しいことは明らかになっていません。
また、米GizmodoがAppleに取材したところ、Apple公式サイトの「フィッシングメールや偽のサポート電話などの詐欺を見抜き、被害に遭わないようにする」の項目へ案内があっただけで、コメントは得られませんでした。
偽iPhoneを本物に見せかける詐欺
Source: Krebs on Security