高度に巧妙化した新しいフィッシングキャンペーンがAppleユーザーを標的にしており、Apple IDの認証情報と支払い情報を盗み取ることを目的としています。
この攻撃では、説得力のあるメールと偽のコールセンターを使って被害者をだまし、二要素認証(2FA)コードを渡させます。
攻撃は、驚くほど本物らしく見えるメールから始まります。正しいAppleロゴ、整ったレイアウト、そして正規の取引レシートを模したプロフェッショナルな書式が特徴です。
件名は不安をあおるように作られており、AppleがあなたのApple Payアカウントでの高額請求を停止したと主張します。
これらのメールには、公式に見せかけるために特定の「ケースID」やタイムスタンプが含まれていることがよくあります。中には、不正行為を確認するための「予約」がユーザー向けに入っていると主張するバージョンさえあります。
問題を解決するためとして、メールには電話番号が記載され、被害者に「Apple Billing & Fraud Prevention」へ直ちに電話するよう促します。
被害者がその番号に電話すると、Appleではなく、サポート担当者を装う詐欺師につながります。この手口は「ビッシング」(音声フィッシング)として知られています。
担当者はプロらしく聞こえ、台本を使って信頼を築きます。犯人が実店舗で被害者のApple Payを使おうとし、取引が「一部ブロックされた」と説明します。
通話は、ユーザー名の確認や所有しているAppleデバイスの種類など、無害な質問から始まります。これにより被害者の警戒心が薄れます。
詐欺の最も危険な部分は、Apple IDの確認コードに関わるものです。詐欺師は被害者の実際のアカウントでログインを試行します。
被害者がAppleからの本物のコード付きSMSを受け取ると、詐欺師は「本人確認」に必要だとして、そのコードを声に出して読み上げるよう求めます。
実際には、詐欺師はそのコードを使って二要素認証を回避し、アカウントを乗っ取っています。
ログイン後、支払い方法を「保護」するためとしてクレジットカード情報の提供を求め、実質的に金融データを盗み取る可能性があります。
Malwarebytesのセキュリティ研究者は、この詐欺の複数のバリエーションを特定しました。例の一つは、279.99ドルのApple Gift Cardに関する偽の請求書です。
別の例では、1,157.07ドル相当の2025年モデルMacBook Air M4のリアルなレシートが示され、1-805-476-8382のような特定の番号に電話するようユーザーに促します。
ユーザーは、Appleがメールで不正対応の予約を設定することはなく、依頼していないメッセージに記載された電話番号へ電話するよう求めることも決してない、という点を覚えておくべきです。
最も重要なのは、Appleのサポート担当者が、電話で2FAの確認コードやパスワードを共有するよう求めることは決してないということです。
この詐欺に引っかかった疑いがある場合は、直ちにApple IDのパスワードを変更し、設定からすべてのアクティブなデバイスでサインアウトし、銀行に連絡して不正請求の申し立てを行ってください。
翻訳元: https://cyberpress.org/new-apple-pay-phishing-attack/