TokyoBlackHatNews

malwarebytes.com 4分で読了

個人情報を狙うAT&TリワードのフィッシングSMSに注意

同僚が、AT&Tが受信者に対してリワードポイントの有効期限が迫っていると警告しているという、疑わしいSMSを共有してくれました。

フィッシング攻撃は、AIの助けもあってか、ますます巧妙になっています。見た目だけでなく挙動まで、大手ブランドの模倣が上手くなっています。最近、AT&Tの顧客を狙った、現実味のあるブランディング、巧みなソーシャルエンジニアリング、そして段階的なデータ窃取の手口を組み合わせた、完成度の高いフィッシングキャンペーンを発見しました。

本記事では、このキャンペーンがどのように被害者をだまし、盗まれたデータがどこへ送られるのかを、画面ごとに追いながら調査内容を解説します。

調査のきっかけとなったテキストメッセージがこちらです。

Image

「お客様各位、
お客様のAT&Tアカウントには現在11,430ポイントのリワードポイントがあり、2026年1月26日に失効予定です。
推奨の交換方法:
– AT&Tリワードセンター:{短縮リンク}
– AT&Tモバイルアプリ:リワードセクション
AT&Tはお客様へのサービス提供に尽力しています。」

短縮URLはhttps://att.hgfxp[.]cc/pay/へ誘導し、名称と見た目がAT&Tサイトのように作られたウェブサイトでした。

Image

ブランディング、ヘッダー、メニューはすべてコピーされており、ページ内にはatt.comへの実在するリンクが多数配置されていました。

しかし「本題」は、AT&Tのリワードポイントにアクセスする方法を説明する特別セクションでした。

電話番号でアカウントを「確認」した後、被害者にはAT&Tポイントが2日後に失効するという警告が表示されたダッシュボードが示されます。この短い猶予は、緊急性とFOMO(取り逃がすことへの恐怖)を利用する、典型的なフィッシング手口です。

Image

Amazonギフトカード、ヘッドホン、スマートウォッチなど、提示されるリワードは魅力的で、被害者が正規のロイヤルティプログラムを利用しているかのような錯覚を強めます。

さらに信頼性を高めるため、電話番号を送信すると利用可能なギフト一覧が表示され、その後に最終確認のプロンプトが続きます。

Image
Image

その段階で、標的は「配送情報」フォームへの入力を求められます。そこでは氏名、住所、電話番号、メールアドレスなど、機微な個人情報が要求されます。実際のデータ窃取はここで行われます。

Image

フォームの見た目上の送信フローは、リアルタイムの検証やエラーの強調表示など、トップブランドに期待するような滑らかでプロフェッショナルなものです。これは意図的です。攻撃者は高度なフロントエンド検証コードを使い、盗み取る情報の品質と完全性を最大化しています。

洗練されたUIの裏側では、このフォームはJavaScriptコードに接続されており、被害者が「続行」を押すと入力内容をすべて収集して攻撃者へ直接送信します。私たちの調査ではコードの難読化を解除し、大きな「data」セクションを見つけました。

Image

盗まれたデータは、JSON形式でPOSTによりhttps://att.hgfxp[.]cc/api/open/cvvInterfaceへ送信されます。

このエンドポイントは攻撃者のドメイン上でホストされているため、被害者が送信したすべての情報に攻撃者が即座にアクセスできます。

このキャンペーンが効果的で危険な理由

  • 高度な模倣:各ページはatt.comの正確なクローンで、動作するナビゲーションリンクやロゴまで揃っています。
  • 段階的なソーシャルエンジニアリング:被害者は段階的に誘導され、ページを進むごとに警戒心が下がり信頼が増していきます。
  • 品質保証:カスタムのJavaScriptフォーム検証により入力ミスが減り、データの取得成功率が高まります。
  • 難読化されたコード:悪意あるスクリプトは難読化で包まれており、解析やテイクダウンを遅らせます。
  • 集中型の流出:収集されたデータはすべて、攻撃者のC2(コマンド&コントロール)エンドポイントへ直接POSTされます。

身を守る方法

これはフィッシングの試みだと標的が気づけたはずの危険信号はいくつもありました:

  • このテキストは一度に18人の受信者へ送られていました。
  • 個人名ではなく、一般的な呼びかけ(「Dear Customer」)が使われていました。
  • 送信元の番号は、AT&Tの既知の連絡先ではありませんでした。
  • 被害者が後日偽サイトを訪れると、有効期限の日付が変わりました。

不審なリンクを避けることに加え、安全を保つための方法をいくつか紹介します:

  • アカウントへのアクセスは、公式アプリを使うか、公式サイト(att.com)をブラウザに直接入力して行ってください。
  • URLを注意深く確認してください。ページが完璧に見えても、リンクにカーソルを合わせ、アドレスバーで公式ドメインかどうかを確認しましょう。
  • AT&Tおよびその他の重要なアカウントで、多要素認証 を有効にしてください。
  • ウェブ保護モジュールを備えた、最新のリアルタイムマルウェア対策ソリューションを使用してください。

プロのヒント:Malwarebytes Scam Guardは、このテキストを詐欺として認識しました。

翻訳元: https://www.malwarebytes.com/blog/threat-intel/2026/01/watch-out-for-att-rewards-phishing-text-that-wants-your-personal-details

ソース: malwarebytes.com
#AT&T #SMS詐欺 #URL短縮リンク #サイバーセキュリティ対策(MFA・URL確認) #ソーシャルエンジニアリング #データ流出(JSON送信・POST) #フィッシング詐欺 #リワードポイント詐欺 #個人情報窃取 #偽サイト(ブランドなりすまし)

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延