モバイルバンキングユーザーを狙う「スミッシング攻撃」の手口とは:SMSでの緊急を煽るメッセージにご注意
McAfee Labsが、米国で発生しているSMSを利用してオンラインバンキングユーザーを狙うフィッシング攻撃の手口を公開。「不明な電話番号からのメッセージは常に疑うこと」と警鐘を鳴らした。
McAfeeのセキュリティ研究機関McAfee Labsは2017年8月14日(米国時間)、携帯電話のSMS(ショートメッセージサービス)を利用したフィッシング攻撃を発見したと公式ブログで明らかにし、その手口を解説した。
SMSを活用したフィッシング攻撃は「スミッシング(Smishing)攻撃」と称される。米国のオンラインバンキングユーザーを攻撃対象に、「銀行口座が閉鎖されてしまうため、直ちにSMSに記載されているURLから手続きをしなければならない」という偽の通知を行うことでフィッシングサイトに誘導する。
McAfee Labsは、偽のメッセージに「FRM」や「MSG」の文字列が使われていることから、2016年7月末に同社が発見したiOSユーザーをターゲットとしたスミッシング攻撃に似ているとしている。今回発見された攻撃では、クリックさせるURL文字列に金融機関の名称を含めて「誤認させやすく」していることが特徴という。
このURLをクリックすると、実在する正当なオンラインバンキングサイトを模したフィッシングサイトにアクセスする。このサイトでは、偽の顧客識別プログラム(Customer Identification Program)を模して、ユーザー名とパスワードだけでなく、社会保障番号やクレジットカード番号、ATMの暗証番号なども要求する。入力時に「IDの正当性が確認されるまでアカウントが無効になり、オンライン取引が拒否される」などとユーザーを脅迫しながら、「上記の個人情報を入力すればアカウントのロックは解除される」と示すことで情報の入力を誘う。
さらに、二要素認証を突破するために、SMSでユーザーに送られてくる正当なワンタイムパスワードも入力するように要求するのが手口のポイントだ。二要素認証コードを入力すると金融機関の正当なWebサイトにリダイレクトされるので、ユーザーは偽の顧客識別プログラムが正当な処理として完了したと思い込んでしまう。攻撃者は正当な二要素認証コードを入力して、ユーザーの全てのネットバンキングサービスにアクセスできることになる。
McAfee Labsは、「これまでのスミッシング攻撃を見てみると、攻撃者は不正アクセスを行うために、あらゆるタイプのユーザーアカウントをターゲットにしていることが分かる。このような脅威から身を守るには、不明な電話番号からのSMSメッセージを常に疑うこと。不審なリンクはクリックしないように注意すること」と注意を促している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Apple IDの奪取を狙うSMSフィッシング詐欺が複数発生、どんな手口?
インテルセキュリティのモバイルリサーチチームが、iOSユーザーを狙い、Apple IDの情報を盗むSMSフィッシング詐欺が複数発生していると告知。注意を促した。
なぜ、「フィッシング詐欺」に気付けないの?
セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第4回のテーマは、「フィッシング詐欺」です。銀行やクレジットカード会社などを装った文面や差出人やリンクテキストの偽装により受信者を「偽サイト」へ誘導し、IDやパスワードなどの情報を盗み出そうとするこの手口。被害に遭わないために注意すべきポイントについて整理しておきましょう。
「情報セキュリティ10大脅威 2016」、IPAが発表
情報処理通信機構(IPA)は2016年2月15日、「情報セキュリティ10大脅威 2016」を発表した。オンラインバンキング攻撃や標的型攻撃、ランサムウェアなど、2015年に発生した大きな事件に関わるものが上位に順位付けされた。
日本のネットバンキング利用者を狙い、金融庁装うフィッシングサイトに誘導するマルウエア
セキュリティ企業のESETとキヤノンITソリューションズは2015年10月16日、 日本のインターネットバンキング利用者を狙い、金融庁を装ったフィッシングサイトに誘導するマルウエアに注意を呼び掛けた。