認証情報、クレジットカード情報、顔写真、ID を狙う Netflix フィッシング詐欺

2018.01.29

本記事の執筆にあたり支援してくれた John Shier に謝意を表します。


この数か月間、セキュリティ関連の大きなニュースがいくつかありました。


たとえば、F**CKWITKRACK などの脆弱性、恐喝を目的とした数々のランサムウェア、膨大な件数のアカウント情報が流出した Uber、Equifax、Yahoo のデータ漏洩事件などです。


どれも世間の注目を集めたニュースです。

対照的に、フィッシング攻撃は頻繁に発生しているにもかかわらず、最近ではめったに報じられません。

どういうわけか、フィッシングは誰もがすでに経験し、理解し、対策を習得した過去の問題になってしまったかのようです。


しかし、サイバー犯罪者にとってフィッシングが大きなビジネスであることに変わりはありません。先週だけでも、多くの有名金融機関を騙ったフィッシング攻撃を SophosLabs は検出しています。


金融業界に限ってみても、この数日間に eBay、PayPal、VISA、American Express、Bank of America、Chase、HSBCNational Australia Bank などが乗っ取りの被害に遭っていますが、これも被害者リストの一部にすぎません。


残念ながら、攻撃による自社ブランドの悪用を阻止することは、(特に有名で広く宣伝されているブランドである場合は) ほぼ不可能です。

自ら作成したメールを送信したり、ブログ記事を公開したり、PR 文を書き込んだり、Web サイトにロゴを表示したりするたびに、模倣のための材料をサイバー犯罪者に提供しているようなものです。


皮肉なことに、サイバー犯罪者がオリジナリティや独創性を発揮しなければ、それだけ正規のものに近づき、ユーザーに疑念を抱かせるようなスペルミス、文法ミス、視覚的な間違いも少なくなります。


大半のフィッシング攻撃は、ユーザーが自分だけの秘密にしておかなければならない以下のような情報を手に入れようとします。


  • 既存アカウントのユーザー名とパスワード。
    認証情報があれば、ログインして乗っ取ることができます。

  • クレジットカード番号、有効期限、CVV コード。
    これらの情報があれば、カードを不正利用したり、データを第三者に販売したりできます。

  • 通常は公開しない個人情報。
    販売したり、口座の新規開設に使用したり、ローンを組んだりすることがきます。

Netflix を騙ったフィッシング攻撃

先週、Netflix ブランドを乗っ取ったフィッシング攻撃が大きなニュースとなりました。

フィッシングに気付く自信があったとしても、間違ってクリックしてしまった場合にどのような事態に陥るのかを折りに触れて再確認しておく必要があります。


そこで本記事では、フィッシング攻撃についての簡単に解説します。Netflix を騙ったフィッシングは、ユーザーの認証情報クレジットカード情報顔写真、そして ID を入手しようとする攻撃です。


これまで、このフィッシング攻撃の入口となる偽装ページは複数報告されていますが、ここではソフォスに送られてきたものを例に説明していきます。



手口は単純で、件名の「Netflix」のスペルが変えられています。X がギリシャ文字のカイに置き換えられているので Netflix ではなく Netfli𝛘 と表示されています。


どのようなサイトにアクセスするのかが不明ですので、絶対にログインリンクをクリックしたり、電子メール内の「update your account (アカウントを更新する)」リンクを直接クリックしたりしないでください。


次のような偽サイトにアクセスしないようにするため、よく使用するログインページを記録しておき、どこからアクセスすればよいかを把握しておく必要があります。



上記の偽サイトには HTTPS を表す南京錠のアイコンが表示されていることに注目してください。

しかし、南京錠が表示されているからといって、信用できるサイトというわけではありません。

この例では、攻撃者は信憑性を高める目的で、有効な HTTPS 証明書をすでに所有しているサイトにハッキングしてから、フィッシングページをアップロードしていました。


ハッキングされたサイトは、証明書に記載されている会社に本当に属しているため「安全」であると言えますが、その一方で、不正なコンテンツを配信しているのでまったく安全ではありません。



ユーザー名とパスワードをすでに入手した攻撃者は、次にクレジットカード情報を要求してきます。



文法的に正しくない下記の文がページ上部に追加されているうえに、URL も間違っているので、アクセスしたユーザーはフィッシングサイトであることに気付いてしかるべきです。


この問題を解決し、Netflix アカウントにアクセスできるようにするには、情報を確認する必要があります。


わざわざ追加する必要のなかったこの文を攻撃者が追加したのは、攻撃者のミスです。ユーザーは、攻撃者が犯したこのようなミスを利用して、フィッシングサイトを見分けてください。


次に表示されるのは、偽の「Verified by VISA (VISA 認証サービス)」のページです。このページは、ユーザーが入力した内容を表示するだけですが、以下のように本物っぽい画面になっています。



次に、顔写真と ID を要求してきます。



すると、ようやく本物の Netflix のログインページへとリダイレクトされます。



本来であれば、電子メールに記載されている「便利な」リンクなどを経由しなくても、このページにアクセスします。


対策

  • 電子メールに含まれているログインリンクやアカウント検証リンクは、絶対にクリックしないでください。
    このようなリンクが含まれていたら、直ちに逃げ出してください。

  • HTTPS の南京錠アイコンが表示されていることを確認してください。
    表示されていなければ、直ちに逃げ出してください。

  • ただし、南京錠アイコンが表示されていたとしても、サイトの名前を確認してください。
    本来の名前と異なっている場合は、直ちに逃げ出してください。

  • スペルミスや文法上の誤りを無視しないでください。
    おかしいと感じたら、直ちに逃げ出してください。

  • ID はしっかりと管理してください。
    絶対に必要ではないにもかかわらず、自撮り写真や ID を要求された場合は直ちに逃げ出してください。

疑わしい要求には応えないことが重要です。

引用元

おすすめの記事はこちら