Instagramのログイン情報を盗むフィッシング詐欺 ”Nasty List”

あなたは普段どのくらいの頻度でソーシャルメディアアカウントをチェックしていますか?最近の調査(グローバル平均)によると、インターネットユーザーはソーシャルメディアで1日平均2時間22分を費やしています。このように世界中のインターネットユーザーがソーシャルメディアに依存する中、サイバー犯罪者はさまざまなサイバー攻撃で被害者を狙う手段としてソーシャルメディアを使用しています。最近では、”Nasty List”と呼ばれる最新のソーシャルメディアのスキームにより、ユーザーを騙してInstagramの認証資格情報を入力させ、そのアカウントを使用してフィッシング詐欺をさらに展開するような攻撃が行われています。


目的はInstagramの資格情報

それでは、ハッカーがどのようにして罪のないユーザーを偽の画面に導いてログイン情報を搾取しているかを見てみましょう。サイバー犯罪者は乗っ取ったアカウントを介してユーザーのフォロワーにメッセージを送信し、これらのメッセージが “Nasty List”に掲載されていると述べ、この詐欺を広めています。受信者がメッセージにリストされているプロファイルにアクセスすると、プロファイルの説明にリンクが表示されます。これらの詐欺プロファイルにリストされているURLの一例は下の図のように、”nastylist-instatop50.me”です。このリンクをクリックすると、このリストに掲載されている理由を確認できるようになるとユーザーは信じ込んでしまいます。

提供:Bleeping Computer

実際クリックすると、正規のInstagramログインページと思われる偽のページが表示されます。被害者が偽のログインページに自分の認証情報を入力すると、このスキームの背後にあるサイバー犯罪者がアカウントを引き継ぎ、それを使ってさらに詐欺を宣伝する可能性があります。

提供:Bleeping Computer 偽のログインページ

フィッシング詐欺の犠牲にならないためのヒント

幸いなことに、Instagramユーザーがこの罠の犠牲にならないために、各自が気を付けるべきこと、できることがあります。以下のヒントを参考にしてください。

未知のユーザーからのメッセージには懐疑的になる

知らない人からメッセージを受け取った場合は、そのメッセージをすべて無視するか、ユーザーをブロックすることをお勧めします。さらに、友人のソーシャルメディアアカウントが侵害されたと思われる場合は、メッセージ内のスペルミスや文法上の誤りを探すと怪しい点が見つかるでしょう。それらは詐欺の場合によく見られます。

メッセージに送信されたリンクを調べる際は注意

クリックする前に必ずURLを調べてください。この詐欺の場合、偽のログインページとともに表示されるURLは”.me”で終わるため、明らかに正しくありません。

また、もしあなたのアカウントが ‘The Nasty List’によって乗っ取られたら、まだ自分のアカウントにアクセスできる場合は、パスワードをリセットしてアカウントの管理を取り戻してください。

※本ページの内容は、2019年4月22日(US時間)更新の以下のMcAfee Blogの内容です。
原文:The “Nasty List” Phishing Scam Is out to Steal Your Instagram Login
著者: