Apple関連を狙う詐欺グループが、FaceTimeを高い信頼性を持つソーシャルエンジニアリングの手段として悪用し、資格情報を盗み取るケースが増えています。リスクの高い事例では、これが端末侵害の下準備にもなっています。
Appleによると、脅威アクターは電話、FaceTime、SMS、メールなどさまざまな連絡手段を使い、正規の組織になりすまして標的にアプローチしてくるといいます。
同社は、突然の連絡に対してパスワードや確認コード、カード情報などの機密情報を決して開示しないようユーザーに呼びかけています。
最近の報告では、犯罪者が「Apple Support」といった表示名や、被害者の銀行を装った表示名で、依頼のないFaceTime通話をかけてくる事例が説明されています。
攻撃者はこの通話に、アカウントアラートや返金通知を装った巧妙なメッセージを組み合わせることが多いようです。
この詐欺行為に関するレポートによると、狙いはユーザーが依頼内容を独自に確認する時間を持つ前に、行動を起こさせることにあります。
標的が応答すると、詐欺師はApple ID、銀行口座、あるいは端末が侵害されたと主張します。そして、カード情報、オンラインバンキングの資格情報、Apple IDのパスワード、多要素認証コードなどを提供して「確認」するよう被害者に圧力をかけます。
一部の事例では、被害者はリモートアクセスソフトウェアのインストールを指示されます。これにより攻撃者は画面を閲覧できるようになり、アカウント復旧の操作を誘導したり、連携システム上のセッションを乗っ取ったりすることが可能になります。
Malwarebytesの研究者によると、こうしたキャンペーンは通常Apple Support、金融機関、決済事業者になりすまし、不審な取引、アカウントロック、不正請求、返金といった緊急性の高いシナリオを利用するとのことです。
最初のFaceTime通話自体にはマルウェアもiOSエクスプロイトも必要ありません。その効果はなりすましと緊急性の演出によるものです。
Antivirus& Malware
資格情報窃取を組み合わせるFaceTime詐欺
ライブの映像・音声通話は一般的なフィッシングメールよりも信頼性が高く見えることがあります。特に攻撃者が見慣れたブランドを使い、進行中のセキュリティインシデントに対応していると主張する場合は、なおさらです。
しかし、ソーシャルエンジニアリングが未パッチのソフトウェアと組み合わさると、リスクは急激に高まります。資格情報の窃取により、攻撃者はApple ID、メールの受信箱、銀行のポータル、クラウドバックアップ、アイデンティティ復旧の仕組みにアクセスできるようになる可能性があります。
さらに、ブラウザ側の別の脆弱性や悪意のあるウェブサイトが、最新のiOSセキュリティ修正を適用していない端末上でコードを実行する経路を提供することもあります。
この多層的な手法により、攻撃者は単一の盗まれたパスワードにとどまらない行動が可能になります。DarkSwordのようなキャンペーンでは、脅威アクターが未パッチのiPhoneを標的にし、ブラウザ操作をより深い端末アクセスへと変換するよう設計されたエクスプロイトチェーンを使用していると報告されています。
FaceTime詐欺そのものはiPhoneが実際にエクスプロイトされた証拠にはなりませんが、より広範な侵害作戦の第一段階として機能する可能性があります。
iOSのアップデートを先延ばしにするユーザーによって、この攻撃対象領域はさらに広がります。Appleが修正するのは、権限昇格、リモートコード実行、情報漏洩、あるいはウェブコンテンツ経由の悪用を可能にし得る脆弱性です。
古いバージョンのままの端末は、修正が公開された後も既知の弱点を抱え続ける可能性があります。
ユーザーは、こうした不審なやり取りを意思決定から切り離す必要があります。Appleや銀行が、予期しないFaceTime通話を使って資格情報、決済情報、端末のパスコード、ワンタイム確認コードを求めてくることはまずありません。
このような要求を受けた場合は、通話を終了し、公式サイトやアプリ、確認済みのサポート番号を通じて組織に直接連絡することが推奨されます。
AppleはiPhoneやiPadを常に最新の状態に保ち、機密データに関する不審な要求には応じず、主張されているアカウントの問題については独自に確認するよう推奨しています。
2019年当時のSOC向けに書かれたSLAはもう卒業しませんか – こちらが2026年版AI SLA ベンダーチェックリストです – 無料の AI SOC SLA ガイドをダウンロード
翻訳元: https://gbhackers.com/facetime-scammers-combine-credential-theft/