高度に洗練された新たなフィッシングキャンペーンがApple Payユーザーを標的にしており、高品質なメールデザインと ソーシャルエンジニアリング を悪用してセキュリティ対策を回避しています。
スペルミスの多いメールや怪しいリンクに頼る典型的な詐欺とは異なり、このキャンペーンはメールと電話による詐欺を組み合わせた「ハイブリッド」手法を用い、しばしば「ビッシング(vishing)」と呼ばれる手口でApple IDと決済データを盗み取ります。
フィッシング攻撃
攻撃は、本物らしく見えるメールから始まります。公式のApple のブランド要素、正しい書式、プロフェッショナルなレイアウトが用いられています。
件名は通常、2025年モデルのMacBook Air M4($1,157.07)や高額なギフトカード取引など、価値の高い購入を示して即座に不安をあおる内容になっています。
メールでは、Appleがこの取引を「ブロック」したと主張します。しかし、アカウント停止を防ぐために本人確認が必要だとしています。
重要なのは、ユーザーにリンクをクリックさせるのではなく、「請求 & 不正防止」の電話番号に電話するよう指示する点です。
中には、不正を確認するための「予約(appointment)」がユーザーのために取られたと主張するメールもあります。
被害者がその番号に電話すると、Appleサポート担当者を装う詐欺師につながります。
会話は信頼を築くために台本化されています。偽の担当者は正当性を装うため、ユーザーの氏名やデバイスの詳細を確認します。
信頼関係ができると、技術的な乗っ取りが始まります。攻撃者は自分のコンピュータから被害者のApple IDにログインしようとします。Malwarebytesの報告によれば、こうした手口が確認されています。
これにより、正規の二要素認証(2FA)コードが被害者の電話に送信されます。詐欺師はその後、「アカウントを確認する」または「不正を止める」ために必要だとして、このコードを声に出して読み上げるよう被害者に求めます。
このコードを渡してしまうと、被害者は意図せず攻撃者にApple IDへの完全なアクセス権を与えてしまいます。
その結果、詐欺師はApple Walletに紐づいた支払い方法を悪用したり、ユーザーをデバイスから完全に締め出したりできます。
危険信号と防御戦略
セキュリティ研究者は、Appleがメールで「不正対応の予約」を設定することはなく、迷惑メッセージに記載された電話番号へ電話するようユーザーに求めることもないと警告しています。
安全を保つため、ユーザーは次のガイドラインを守るべきです。
- 送信者を確認する: 表示名が「Apple Support」となっていても、実際のメールアドレスを確認してください。フィッシングメールが公式の @apple.com ドメインから送られてくることはほとんどありません。
- 2FAコードを守る: 電話で誰にも認証コードを共有しないでください。Appleのサポート担当者がパスワードや2FAコードを尋ねることは決してありません。
- 独立して検証する: 請求に関するアラートを受け取っても、メール内の番号には電話しないでください。 appleid.apple.com にアクセスするか、公式の銀行アプリで取引を確認してください。
この詐欺に関与してしまった可能性がある場合は、直ちにApple IDのパスワードを変更し、設定からすべてのアクティブセッションをサインアウトし、銀行に連絡して不正請求の申し立てを行ってください。
翻訳元: https://gbhackers.com/apple-pay-users-targeted-by-phishing-attack/
