Appleは、iPhoneおよびiPadユーザーに対し、予期しないFaceTimeの着信、メッセージ、メール、電話を信用しないよう注意を呼びかけています。特に、支払い、返金、アカウントアラート、パスワードリセット、個人データの提供を求める内容には警戒が必要だとしています。
この指針は、ソーシャルエンジニアリング詐欺の見分け方と回避方法についてのApple公式サポート記事に記載されています。
攻撃者は、Apple Support、銀行、配送業者などの信頼されるブランドになりすまし、被害者にApple IDの認証情報や銀行情報、カード情報、あるいはワンタイム認証コードを開示させようとするケースが増えています。
最近の報告では、「Apple Support」といった発信者名を表示したり、金融機関を装ったりする、望まれていないFaceTime着信が確認されています。
こうした着信には、不審なアカウント活動、緊急の返金、支払いの失敗、アカウントロックアウトの差し迫った危険を訴える、説得力のあるテキストメッセージが伴うことが多くなっています。
この手口の目的は、必ずしも標的のiPhoneに感染させることではありません。むしろ攻撃者は、緊急性、信頼感、そして見覚えのある身元を利用して、電話の相手を操ろうとします。
典型的な詐欺の手口では、発信者は被害者のAppleアカウント、クレジットカード、または銀行口座が侵害されたと主張します。
その上で即時の対応を要求し、不正取引とされるものを止めるためには、標的に個人情報の確認が必要だと強く主張することが多くなっています。
被害者はApple IDのユーザー名とパスワード、オンラインバンキングの認証情報、カード番号、セキュリティコード、あるいは銀行から送られたワンタイムパスコードの開示を求められることがあります。
さらに深刻なケースでは、発信者がユーザーにリモートアクセスアプリケーションのインストールを促し、犯罪者が被害者のデバイスの一部を閲覧・操作できるようにしてしまいます。
Appleは、パスワード、認証コード、支払い情報、デバイスのパスコードを求める目的で、予期しないFaceTime着信を利用することはありません。銀行や金融機関も、重大なセキュリティインシデントへの対応にFaceTimeを使うことは考えにくいとされています。
この詐欺が成立してしまうのは、FaceTimeがテキストメッセージよりも個人的で正当なものに見えるためです。
ユーザーはこのサービスをAppleと結び付けて考え、着信は何らかの形で検証済みだと思い込んでしまうことがあります。しかし実際にはそうではありません。発信者名、プロフィール画像、表示される身元情報は、誤解を招くものであったり、なりすましであったりする可能性があります。
Appleは、予期しないメッセージや着信には対応しないようユーザーに呼びかけています。
発信者から提示された電話番号、リンク、連絡先情報を使うのではなく、公式アプリ、公式ウェブサイト、または確認済みのカスタマーサービス番号を通じて、該当組織に直接連絡すべきだとMalwarebytesは述べています。
今回の警告は、より広範なセキュリティ上の問題も浮き彫りにしています。多くのユーザーは、パッチが提供された後もiOSおよびiPadOSのアップデートを先延ばしにしているのです。
ソーシャルエンジニアリングだけでも犯罪者にアカウント認証情報を渡してしまう可能性がありますが、攻撃者は盗んだ情報を技術的な悪用と組み合わせることもあります。
フィッシングメッセージが被害者を悪意あるウェブサイトへ誘導し、そこでブラウザ側の脆弱性を突いてパッチが未適用のデバイス上でコードの実行を試みるケースも考えられます。
こうした一連の攻撃は、盗まれたパスワードやクリックされたリンク一つを起点に、アカウント、アプリケーション、デバイスデータへのより深いアクセスへとつながる恐れがあります。
翻訳元: https://cyberpress.org/facetime-scams-steal-credentials/