セキュリティ研究者がVerizonユーザーに攻撃的な詐欺行為について警告する
フィッシングは常にサイバー詐欺師のお気に入りの1つです。これにはいくつかの正当な理由があります。フィッシング詐欺を成功させるために多くの技術的なスキルは必要ありません。また、大規模なキャンペーンでさえ、お金と時間の面で大きな投資を必要としません。一方、すべての警告にもかかわらず、電子メールのソーシャルエンジニアリングは、ユーザーをだましてリンクをクリックさせ、機密情報を漏らすのに十分です。
スミッシングは、携帯電話ユーザーを対象としたフィッシングのバリエーションであり、テキストメッセージによって行われます。スミッシング攻撃は、従来の詐欺ほど一般的ではありませんが、Verizonユーザーをターゲットにした最近のキャンペーンが示すように、この手法にはかなりの数のサイバー犯罪者を誘惑するいくつかの明確な利点があります。
Table of Contents
詐欺師は、Verizonのお客様を個人データからだまそうとします
この詐欺はHowToGeekによって発見および報告され、Webサイトの編集長であるChris Hoffmanは、スミッシング攻撃を「これまでで最も洗練された」と説明しました。この声明は議論の余地があるかもしれませんが、犯罪者が操作に何らかの考えを入れたことに疑いの余地はありません。
ご想像のとおり、攻撃はSMSで始まり、「Verizonアカウントのセキュリティには検証が必要」と表示されます。リンクをクリックすると、「アカウントを検証し、アクセスが無効にされないようにする」ことができます。ご覧のとおり、文法はこの種の攻撃から予想されるほど厄介です。少し珍しいのは、ユーザーがクリックするように求められているリンクがURL短縮サービスを使用していないという事実です。そうは言っても、あまりにも注意深く見ないと、それが本当に通信プロバイダーから来ているのだと思うことにだまされるかもしれません。
HowToGeekが説明したリンクは、 vwireless[.]xyz(執筆時点ではダウンしている)でホストされ、「衝撃的な説得力がある」と説明されたフィッシングページにつながりました。実際、スクリーンショットは元の画像に非常に近いように見え、文法上の間違いはほとんどありません。詐欺ページを自分で作成する代わりに、詐欺師は地下市場で購入した容易に入手可能なフィッシングキットを使用したことを示唆しています。
偽のWebサイトは、携帯電話番号またはユーザーIDとパスワードを要求することから始まります。その後、アカウントPIN番号の入力を求められ、最後に、個人情報を提供する必要があることが通知されます。このページでは、名前、住所、5桁の請求郵便番号を入力すると、Verizonがアカウントを保護するのに役立つことがわかります。すべての詳細を指定すると、実際のVerizon Webサイトにリダイレクトされます。
フィッシングページでは、すべてのフィールドに入力しないとクリックスルーできませんが、HowToGeekのレポーターがテストしたとき、彼らは偽の情報を使用しました。
潜在的な損傷はかなり重大です
上記のすべてがおなじみのようで、トラップに陥ったと思われる場合は、Verizonに連絡して問題をすぐに修正する必要があります。アカウントが正常に引き継がれると、詐欺師があらゆる種類の混乱を引き起こす可能性があるからです。彼らは新しいスマートフォンを注文し、それをあなたの請求書に振り込むことができ、またあなたに対してSIMスワッピング攻撃を実行することもできます。複数のWebサイトで同じパスワードを再利用した場合、資格情報の詰め込みの犠牲になり、他のアカウントへのアクセス権も失う可能性があります。
全体として、Verizonの顧客に狙いを定めることで、詐欺師に見返りを得ることができ、従来のフィッシングではなくスミッシングを選択することで、被害者の数を最大化することを望んでいます。
スミッシングとフィッシング:どちらが最適ですか?
Smishingの主な利点は、操作中に犠牲者が必然的に電話にいることです。画面が小さいと、詐欺の証拠となる兆候を見つけるのが難しくなります。既に述べたように、一見すると、テキストメッセージのURLは半正規のように見えます。また、画面スペースが狭いため、モバイルブラウザのアドレスバーはほとんどの場合非表示のままになります。このすべての結果として、間違った住所にいることに気付かない可能性が高くなります。
この場合、従来のフィッシングメールの代わりにテキストメッセージを選択することは、通信プロバイダーとして、VerizonがSMS経由で連絡する可能性が高いため、特に良い電話です。詐欺師が成功する可能性を高めるもう1つの要因は、電子メールフィッシング詐欺が長年にわたって存在している一方で、スミッシングが比較的最近の傾向であり、このスキームがテキストメッセージを介して機能するようになっていることを知っている人が少ないことです。
いつものように、このような攻撃に対する最善の防御は注意と認識です。ユーザーは、詐欺師がSMSを使用して人々をだまして情報を漏らしていることを知っておく必要があります。また、予期しないテキストメッセージのリンクは、電子メールのリンクと同じように危険です。