米国のモバイルバンキングユーザーを狙うスミッシング攻撃を発見

スミッシング

マカフィーのモバイルリサーチチームは、現在活動中の米国のオンラインバンキングユーザーを対象としたSMSメッセージを使用したフィッシング攻撃(スミッシング)を発見しました。その手口は「銀行口座が閉鎖されてしまうため、ユーザーは直ちにSMSに記載のURLにアクセスし手続きをしなければならない」という通知によってユーザーを脅し、フィッシングサイトに誘導します。

20170804smishsmishing_sms_message30

フィッシングに使用されたSMSメッセージ

 

 

今回のスミッシング攻撃で使用されているSMSメッセージの構造として ’FRM’ や ’MSG’ が使用されている点において、2016年7月末に発見したiOSユーザーをターゲットとしたスミッシング攻撃と類似しています。以前の攻撃ではAppleアカウントを盗むため(クリック数やURLの作成日が追跡可能な)短縮URLが使用されていましたが、今回のスミッシング攻撃では、金融機関の名称をURLに含めることでユーザーに不信感を抱かせないようにしているのもその特徴といえます。

 

偽の顧客識別プログラム

ユーザーがURLをクリックすると、実際の銀行サイトを模倣したフィッシングサイトにリダイレクトされます。このフィッシングページでは、偽の顧客識別プログラム(Customer Identification Program – CIP)を介してIDの確認を要求します。IDの正当性が確認されるまでアカウントが無効化され、オンライン取引が拒否されるとしてユーザーを脅迫します。

20170804smishphishingwebsite顧客識別プログラムを装うフィッシングページ

ユーザーが [Message Received(メッセージの受信)] をクリックすると、次のステップであるユーザー名とパスワードの入力画面に進みます。

20170804smishmobilebankingphishin_2モバイルバンキングアカウント情報を要求するフィッシングページ

サイバー犯罪者は、ユーザー名とパスワードだけではユーザーの銀行口座にアクセスするのに十分でないことを知っているため、社会保障番号、クレジットカード番号、さらにはATMの暗証番号といった追加の機密情報を要求してきます。このフィッシングサイトでは、これらの情報が提供されることによってバンキングアカウントのロックが解除されるとことを約束しています。

20170804smishidentityidentification追加の機密情報を要求するフィッシングページ

二要素認証を盗む

このフィッシングスキームの最終ステップでは、金融機関の二要素認証によるセキュリティを突破するために、送金といった特定の銀行サービスを利用する際にSMS経由でユーザーのモバイルデバイスに送信されてくるユニークなアクセスコードを要求します。

20170804smishconfirmphonenumber二要素認証のアクセスコードを要求するフィッシングページ

この二要素認証の要求によってサイバー犯罪者は被害者の銀行口座に完全にアクセスすることが可能となります。ユーザーが [Confirm my identity(自分の身元を確認する)] ボタンをクリックすると、入力したアクセスコードが収集され、ユーザーは正当な金融機関のウェブサイトにリダイレクトされます。これによって、ユーザーに偽の顧客識別プログラムが正常に完了したと思い込んでしまうのです。

サイバー犯罪者は、セキュリティチェーンの中で最も弱いリンクは常にユーザー(人間)であることを知っています。ユーザーから可能な限りの機密情報を盗み出すためにスミッシング攻撃を仕掛けてきます。これまでのスミッシング攻撃を見てみると、攻撃者は不正アクセスを行うために、あらゆるタイプのユーザーアカウントをターゲットにしていることがわかります。このような脅威から身を守るためには、不明な電話番号からのSMSメッセージを常に疑い、不審なリンクはクリックしないように注意してください。


※本ページの内容は McAfee Blog の抄訳です。
原文: Smishing Campaign Steals Banking Credentials in U.S.
著者: Carlos Castillo

【関連記事】

第44回:今だから学ぶ! セキュリティの頻出用語:スミッシング とは?

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速