中国を拠点とするフィッシンググループは、誤配達された荷物や未払いの通行料に関する、止むことのない詐欺SMSの発信元として非難されてきたが、ホリデーシーズンの買い物に合わせて新たな“商品”を売り出している。顧客の決済カード情報をAppleやGoogleのモバイルウォレットに変換する、もっともらしい偽ECサイトを大量生成するためのフィッシングキットだ。専門家によると、これらと同じフィッシンググループは現在、未請求の税金還付金やモバイルのポイントを餌にしたSMSも使っているという。
ここ1週間で、T-Mobileの顧客に大量のポイントを請求する機会を提供すると称する詐欺サイト向けに、数千件のドメイン名が登録された。これらのフィッシングドメインは、AppleのiMessageサービスや、Google製スマートフォンに搭載されている同等機能のRCSメッセージングサービスを通じて送信される詐欺メッセージによって宣伝されている。
T-Mobileを装ったインスタントメッセージ。受信者が数千ポイントの報酬を受け取る資格があると偽っている。
ウェブサイトスキャンサービスurlscan.ioは、ここ数日だけでも数千件のフィッシングドメインが展開されていることを示している。これらのフィッシングサイトは、モバイル端末からアクセスした場合にのみ表示され、ポイントを受け取るためとして、訪問者の氏名、住所、電話番号、決済カード情報の入力を求める。
今週登録された、T-Mobileを装うフィッシングサイト。
カード情報が送信されると、サイトは次に、金融機関からSMSで送られてくるワンタイムコードの共有をユーザーに促す。実際には、詐欺師が被害者から盗んだカード情報をAppleまたはGoogleのモバイルウォレットに登録しようとしたために、銀行がコードを送信しているのだ。被害者がそのワンタイムコードも提供してしまうと、フィッシャーは被害者のカードを、自分たちが物理的に管理するモバイル端末に紐づけることができる。
urlscan.ioでこれらT-Mobile向けフィッシングドメインをたどると、AT&Tの顧客を標的とした類似の詐欺も確認できる。
AT&Tユーザーを狙ったSMSフィッシング、いわゆる「スミッシング」サイト。
フォード・メリル(Ford Merrill)氏は、SecAlliance(CSIS Security Group傘下企業)でセキュリティリサーチに従事している。メリル氏によると、フィッシング・アズ・ア・サービス(PhaaS)プラットフォームを販売する複数の中国拠点のサイバー犯罪グループが、しばらく前からモバイルポイントを餌にした手口を使ってきたが、この詐欺が米国の消費者に向けられるようになったのはごく最近だという。
「こうしたポイント交換スキームは、米国ではあまり人気がありませんでしたが、EUやアジアなど他の地域ではしばらく前から広く使われています」とメリル氏は述べている。
urlscan.ioによってこの中国系SMSフィッシングシンジケートに紐づけられた他のドメインを調べると、米国の州税当局を装い、未請求の税金還付金があると受信者に伝えるサイトも確認できる。ここでも狙いは、ユーザーの決済カード情報とワンタイムコードをフィッシングすることだ。
コロンビア特別区税務局(Office of Tax and Revenue)を装ったテキストメッセージ。
買い手よ、注意せよ(CAVEAT EMPTOR)
多くのSMSフィッシング、いわゆる「スミッシング」用ドメインは、ブラウザベンダーによってすぐに悪意あるサイトとしてフラグ付けされる。しかしメリル氏によると、これらフィッシングキットの新たな成長分野である偽ECショップは、世界中にスパムをばらまいて自ら目立つことがないため、はるかに見分けがつきにくいという。
メリル氏は、荷物の再配達を装うメッセージ詐欺を大量送信するために使われている中国製フィッシングキットには、もっともらしい偽ECストアフロントを素早く大量展開できるモジュールが組み込まれていると述べる。これらの偽ストアは通常、GoogleやFacebook上で広告され、消費者は特定商品の割引をオンライン検索する過程で、結果的にそこへ誘導される。
中国拠点のフィッシンググループが、自らの偽ECショップ用テンプレートを宣伝している広告の機械翻訳スクリーンショット。
こうした偽ECサイトでは、顧客は通常のチェックアウト手続きの一環として、決済カードと個人情報を入力する。その直後に、金融機関から送られてくるワンタイムコードの入力が求められる。偽ショッピングサイトは、そのコードは取引を確認するために銀行が要求していると説明するが、実際には、詐欺師が入力されたカード情報を即座にモバイルウォレットへ登録しようとするために送信されている。
メリル氏によると、これら偽ショップが不正サイトであることを示す悪意あるコードが取得されるのは、チェックアウト処理の最中だけである。そのため、ウェブ全体を機械的にスキャンするだけでは、これらのサイトを見つけるのが難しくなる。また、多くの顧客は、購入した商品が数週間たっても届かないことで初めて、自分がだまされたことに気づく。
「偽ECサイトが厄介なのは、その多くがレーダーの下を飛ぶ(目立たずに活動する)ことができる点です」とメリル氏。「数カ月間閉鎖されずに稼働でき、発見が難しく、安全なブラウジングツールによってもほとんどフラグ付けされません。」
幸いなことに、こうしたSMSフィッシングの誘導メッセージやサイトを通報することは、それらを正しく特定し、閉鎖に追い込むための最速の手段の1つだ。レイモンド・ダイクスホーン(Raymond Dijkxhoorn)氏は、不要なメッセージやフィッシング、マルウェア配布に使われていることが判明しているドメインやIPアドレスをフラグ付けする、広く利用されているブロックリストSURBLのCEOであり創設メンバーでもある。SURBLはsmishreport.comというサイトを開設しており、ユーザーに対して受信したスミッシングメッセージのスクリーンショットを転送するよう求めている。
「(あるドメインが)未登録であれば、新しいパターンを見つけて追加し、それに一致する残りのドメインも一括で潰すことができます」とダイクスホーン氏は言う。「スクリーンショットを撮ってアップロードするだけでいい。あとはツールがやってくれます。」
SMSフィッシング報告サイトsmishreport.com。
メリル氏によると、暦年の最後の数週間は、特に米国郵政公社(U.S. Postal Service)や民間の配送業者を装った荷物再配達スキームなど、スミッシングの急増が毎年見られるという。
「毎年ホリデーシーズンになると、スミッシング活動が爆発的に増加します」と同氏。「皆、より慌ただしくなり、オンラインで必死に買い物をし、本来払うべき注意を払わなくなり、フィッシングに引っかかりやすい心理状態になってしまうのです。」
セキュリティのプロのようにオンラインショッピングをするには
見てきたように、単に最安値を提示しているオンライン販売業者から買うというショッピング戦略は、財布でロシアンルーレットをするようなものになりかねない。大手オンラインストアを主に利用している人であっても、用心せずに“うますぎる話”に飛びつけば(プラットフォーム上のサードパーティ販売業者を想像してほしい)、だまされる可能性がある。
購入したい商品を扱っているオンライン販売業者についてよく知らない場合は、その評判を調べるのに数分かけるべきだ。新設のオンラインストアから購入する場合、詐欺に遭うリスクは大幅に高まる。その必需品を最安値で販売しているサイトの存続期間を知るにはどうすればよいだろうか。手軽に概要をつかむ1つの方法は、そのサイトのドメイン名に対して基本的なWHOIS検索を実行することだ。サイトの「作成日」が最近であればあるほど、そのサイトが“幽霊店舗”である可能性は高くなる。
注文や配送に問題があると警告するメッセージを受け取った場合は、リンクや添付ファイルをクリックするのではなく、ECサイトや配送業者のサイトに直接アクセスするようにしよう。特に、迅速な対応をしなければ深刻な結果を招くと警告するメッセージには注意が必要だ。フィッシャーやマルウェア配布者は、受信者に一時的に警戒心を解かせるため、何らかの緊急事態をでっち上げて偽の危機感を煽るのが常套手段である。
しかし、ホリデーショッピングを台無しにするのは、あからさまな詐欺師だけではない。多くの場合、他のオンラインストアよりも大幅な割引で宣伝されている商品は、送料や手数料を相場よりはるかに高く設定することで、その差額を埋め合わせている。
したがって、同意する内容には注意を払おう。商品が発送されるまでにどれくらい時間がかかるのか、また店舗の返品ポリシーを理解しているかを必ず確認すること。また、隠れた追加料金に注意し、チェックアウトの過程で何も考えずに「OK」をクリックしないようにしよう。
何よりも重要なのは、毎月の明細書を注意深く確認することだ。もし自分が詐欺師なら、ホリデーシーズンまで待って盗んだカードで大量の不正請求を行うだろう。そうすれば、偽の購入履歴が、正当な取引の洪水に紛れ込んでしまうからだ。だからこそ、クレジットカードの請求書を細かく確認し、自分が承認していない請求があればすぐに異議申し立てを行うことが重要である。
翻訳元: https://krebsonsecurity.com/2025/12/sms-phishers-pivot-to-points-taxes-fake-retailers/
