インテル セキュリティのモバイルリサーチチームは、最近iOSユーザーを狙いAppleアカウント情報を盗むSMSフィッシング詐欺を確認しました。Appleアカウントが一時的にロックされているというメッセージでユーザーを騙し、フィッシングサイトに誘導してApple IDやパスワードを盗みます。現在でもなお、このフィッシング攻撃が行われていることから特にiOSユーザーは警戒が必要です。
このフィッシングSMSメッセージは、FRM (送信者)、SUBJ (タイトル)、MSG (メッセージ) といったメールのように構成されており、メッセージに記載されている短縮URL(7月27日に作成されたばかり)をクリックすると、攻撃者のWebサイトにリダイレクトされます。
さらに、攻撃者はPHPプログラムを使い、端末のWebブラウザやアクセス元の条件に応じて別のWebサイトに誘導します。今回誘導されたWebサイトでは、「Appleアカウントが一時的に停止されているため、Apple社のサイトへ行き “安全に” アカウント情報の再認証を行ってください。」というページが表示されます。
この偽のWebサイトでは、48時間以内に再認証が完了しないとAppleアカウントが停止されるとしてユーザーを脅し、Apple社へのサイトに行くと見せかけ、攻撃者が用意したフィッシングサイトに誘導するように仕向けています。また興味深い点として、赤字でスパムメールに関する注釈があることから、このフィッシング攻撃は当初メール経由で展開されていたと推測することができます。
短縮URLサービスの統計情報によると、このSMSフィッシング詐欺に使われた短縮URLは1,700回以上もクリックされており、そのほとんどが7月27日に集中しています。
さらに、クリックしたユーザーのほとんどがアメリカからであり、メキシコやフィリピンといった国からのアクセスも数件確認されています。このことから、このSMSフィッシング詐欺の主なターゲットがアメリカであることがわかります。
また、私たちが7月22日に確認した別のフィッシングSMSメッセージについても調査を行いました。
FRM:apps
SUBJ:New message
MSG:i>¿Urgent!! <phishing_url>
このとき使われていたフィッシングURLのクリック回数は約6,000回あり、そのほとんどが7月22日に集中していました。この手のフィッシング詐欺は発見されるとリンクが無効化されてしまうため、短期的に終了する傾向があることがわかります。
このときも、メキシコやドイツからのアクセスされたという情報が数件ありましたが、その大多数はアメリカからであったことから、アメリカのiOSユーザーがSMSフィッシングの狙われて続けていることがわかります。
また、過去に展開されたSMSフィッシング攻撃でも同様に、FRM (送信者)、SUBJ (タイトル)、MSG (メッセージ) というメール形式のフォーマットで、Appleアカウントが停止したという文句を使ってフィッシングサイトに誘導する攻撃も確認されています。
FRM:<number>@text.att.net
SUBJ: New
MSG:i>¿Your iTunes has been suspended until this process is completed <phishing_url>
大抵のサイバー犯罪者は、システムやアカウントに不正アクセスするために、高度なハッキングスキルを必要としていません。アカウント情報を盗みハッキングを行うためには、ユーザーを騙しフィッシングサイトに誘導するだけで十分なのです。
私たちがこのようなフィッシングの脅威から自分自身の身を守るためには、なじみのない電話番号からのメッセージは基本的に怪しいと判断し、リンクをクリックする前にメッセージやリンクが正当なものであるかを少し調べるようにしてください。
※本ページの内容は McAfee Blog の抄訳です。
原文: Active iOS Smishing Campaign Stealing Apple Credentials
著者: Carlos Castillo
