iPhoneユーザーを騙そうとするボイスメールを使った巧妙なフィッシングの手口が発見された。発信者をAppleサポートのように見せかけており、コールバックさせるのが狙いだった。
今日(米国時間1/4)、セキュリティ専門家のBrian Krebsが報じたところによれば、同じくセキュリティー専門家でiPhoneユーザーのJody WestbyがApple Supportを発信者とするボイスメールを受け取った。内容はいくつかのIPアドレスがハッキングされことに対処するためコールバックしてほしいというものだった。メール履歴を表示すると発信者はApple Inc.のように見えたが、その1-866(フリーダイヤル番号)は完全なニセモノだった。
KrebsOnSecurityではWestbyがかけた番号 (866-277-7794)に電話してみた。
自動応答システムが「Apple Supportを呼び出すので1分30秒ほど待つよう」告げた。1分後にインド訛りの男が電話に出て電話した理由を尋ねた。
騙された一般人のふりをして「Appleからボイスメールが来て情報漏えいに対処するためにコールバックしてほしいと言われたからだ」と答えた。男は少し待つよう告げた後、接続が切れた。
これは明らかに用心が足りないユーザーから財政状況などを含めた個人情報を聞き出そうとする試みだ。もしかするとサポート料金と偽って金を騙し取ろうという策略だったかもしれない。重要な点はApple(回線はAT&T)デバイス上で受けたにもかかわらず、一見して真正なAppleサポートと偽サイトの区別がつかなかったことだ。どうしてそんなことが可能だったのか?
このフィッシングでは、ボイスメール発信者が他人になりすまして身元を隠せたことだ。簡単にいえば発信者は検索結果をごまかし、偽の電話番号を本当のものと勘違いさせた。Westbyが電話するよういわれた番号は、実際にはフィッシング・サイトだった。どこからでもいいが「お前のコンピューターはこわれている」などという電話がかかってきたら嘘をついてる思っていい。メーカーにせよ金融機関にせよサポートが自分から電話してくることはない。こちらからの電話に(運がよければ)答えるだけだ。
〔日本版〕KrebsOnSecurityの記事によれば、Westbyは本来のAppleサポートの番号をウェブ検索で調べ、電話してフィッシングであることを確認したという。テキストメールであれボイスメールであれ、Google検索などで独自に確認した番号以外返信しないのが賢明。
〔原文へ〕