「配達トラブル」や「未払いの罰金」について、終わりのないSMS通知をユーザーに送りつけている中国のフィッシンググループが、新たなシーズン商品を打ち出した。銀行カード情報を盗み、そのカードをApple PayやGoogle ウォレットなどの モバイルウォレットに紐付ける、偽オンラインストアを大量生産するためのターンキー型キットである。同時に、これらのグループは誘い文句のレパートリーも拡大しており、架空の税金還付や、携帯電話事業者からの存在しないボーナスポイントをうたうメッセージも配信している。
ここ1週間で、T-Mobileのカスタマーポータルを装い、訪問者に多額のボーナス残高を約束する何千ものドメインが登録された。これらのリンクはiMessageやRCSを通じて拡散され、ユーザーに「数千ポイントを受け取る」よう促す。フィッシングサイトは、被害者の氏名、住所、電話番号、カード情報の入力を求める。カード情報を入力すると、サイトは取引の「確認」を名目にワンタイムの銀行コードを要求する。実際には、攻撃者はApple PayやGoogle ウォレットを通じて自分たちのデバイスにカードを紐付けようとしており、提供されたコードによって、将来の不正請求に対する完全なコントロールを得ることができる。同様のドメインはAT&Tの顧客も標的にしている。
SecAllianceによると、フィッシング・アズ・ア・サービスを提供する複数の中国拠点グループは、長らく欧州とアジアでこの種の手口を展開してきたが、本格的に米国市場へ参入したのは今回が初めてだという。これらのオペレーターに紐づくドメイン分析からは、州税当局サイトを模倣したページが確認されており、「未請求の還付金」をうたい、再びカード情報とワンタイム認証コードを搾取しようとしていることが分かる。
特に巧妙な手口として、偽オンラインショップを用いるものがある。短期間でブロックリストに載るスミッシング用ドメインとは異なり、これらの詐欺ストアは無差別にスパムを送ることはせず、代わりにGoogleやFacebook*の広告を通じて購入者を誘い込む――多くの場合、特定商品の検索結果に「他にない激安価格」として表示される形だ。同じ中国製フィッシングキットを使って構築されたこれらのショップは、一見もっともらしく見えるが、チェックアウト時に悪意あるスクリプトを読み込む。被害者がカード情報を入力すると、そのスクリプトはカードを攻撃者のモバイルウォレットに紐付けようとする。多くの被害者は、注文した商品がいつまでたっても届かないことから、数週間後になって初めて騙されたことに気づく。
専門家は、このようなサイトは数か月にわたって発見されずに稼働し続ける可能性があると指摘する。大量スキャンでは特定しにくく、Safe Browsingシステムにもほとんど引っかからないためだ。最も効果的な対抗策の一つは、受信したスミッシングメッセージやリンクを、smishreport[.]comのようなサービスに速やかに通報することである。単純なスクリーンショットだけで十分であり、アルゴリズムがパターンを検出して、関連する一連のドメインをまとめてブロックしてくれる。
研究者らは、年末にかけてスミッシングが急増するのは避けられないと警告している。ホリデーシーズンの混乱の中で、人々はオンラインショッピングの頻度が増す一方、細部の確認はおろそかになりがちだからだ。詐欺師たちは、「配達遅延」や「アカウントロック」など、作り上げられたあらゆる「緊急性」を巧みに悪用するため、その危険性はいっそう高まっている。
こうした手口の被害に遭わないために、専門家は「最安値」を追い求める誘惑に抗い、見慣れない小売業者の評判を確認するよう助言している。新規に作成されたドメインは特にリスクが高く、WHOISで作成日を確認するだけでも有効だ。不審な配達関連メッセージについては、埋め込まれたリンクをクリックするのではなく、配送業者の公式サイトに自分でアクセスする方が安全である。また、オンライン購入の際には、配送条件、隠れた手数料、返品ポリシーを注意深く確認することが重要だ。最後に、カードの利用明細をこまめにチェックすることが欠かせない。ホリデーシーズンの正当な取引の洪水は、犯罪者が不正請求をその中に紛れ込ませるのに格好の隠れ蓑となるからである。
翻訳元: https://meterpreter.org/phishing-kits-steal-cards-bind-to-apple-pay-google-wallet-via-fake-stores/
