危険なスミッシング攻撃がApple iMessageユーザーを標的にしており、ソーシャルエンジニアリングを使用して、このメッセージングサービスに組み込まれているフィッシング対策機能を無効にしています。この攻撃により、何百万人ものユーザーが危険にさらされる可能性がありますが、セキュリティ機能を1つ変更することで安全を確保できます。
このスミッシング攻撃がiMessageのセキュリティを無効にする方法
Appleの組み込みセキュリティ保護機能は、メッセージが不明な送信者からのものである場合、iMessageを介して送信されたリンクをブロックします。これは、ユーザーが悪意のあるリンクにさらされるのを防ぐためです。サイバー犯罪者は、このフィッシング対策機能を無効にするように仕向けることで、この機能をバイパスする抜け穴を見つけました。
攻撃者は、iMessageユーザーに応答するように求める偽の警告を送信しています。これらの警告は、偽の配達警告または偽の電話料金未払いメッセージの形で届きます。メッセージでは、配達を受け入れるか拒否するかを「Y」(はい)または「N」(いいえ)で返信するようにユーザーに求めます。返信すると、iMessageにこの番号を知っていることが通知されるため、リンクが有効になります。
Bleeping Computerのレポートによると、メッセージには、「最新の配達状況を確認するか、通行料を支払うには、テキストメッセージを終了し、テキストメッセージのアクティベーションリンクを再度開くか、リンクをSafariブラウザにコピーします」という指示も含まれています。リンクはユーザーをフィッシングWebサイトに誘導し、そこで個人情報と財務情報が盗まれ、その後、なりすまし、クレジットカード詐欺、その他の攻撃に使用されます。
人々は、テキストメッセージでSTOP、YES、またはNOと返信して、予約や正当なアラートを確認またはキャンセルすることに慣れているため、攻撃者はこれを利用して、ユーザーに返信は無害であると思わせています。リンクをクリックしなくても、返信することで、攻撃者にスミッシングメッセージに返信していることがわかり、将来の攻撃の標的になります。
自身を守る方法
Appleの組み込みセキュリティ保護機能を無効にする可能性があるため、身に覚えのない電話番号からのテキストメッセージには返信しないでください。特に、予期しない荷物や身に覚えのない罰金に関するメッセージを受け取った場合は注意が必要です。不明な送信元から送信されたリンクは常に悪意のあるものとみなし、クリックしないでください。スミッシングメッセージを検出する方法は他にもあります。
荷物が届いているか、罰金や手数料が支払われているかどうかわからないが、確認したい場合は、iMessageを閉じて、ブラウザで会社の公式Webサイトを開きます。彼らのカスタマーサービスに連絡して情報を検証します。 Webサイトまたはアプリからアカウントにログインすることもできます。メッセージのリンクからWebサイトにアクセスしないでください。
「すぐに」行動を起こすように圧力をかけるメッセージ、またはすぐに返信しないと悪影響が生じるという脅迫には注意してください。ほとんどのフィッシング詐欺は、あなたが考える前にあなたに行動を起こさせるように設計されています。これにより、自分がだまされたことに気付く前に、情報を提供してしまうことになります。
誤って返信してしまった場合はどうすればよいですか?
詐欺だと気付く前に攻撃者の指示に返信または従ってしまった場合でも、この状況を軽減する方法はいくつかあります。
まず、それ以上のメッセージが送信されないように、すぐに電話番号をブロックします。次に、アカウントのパスワードを変更し、多要素認証(MFA)を有効にします。
財務情報を提供した場合は、すぐに銀行に電話してください。銀行はあなたの口座を凍結し、クレジットカードをキャンセルして新しいカードを発行することができます。
なりすましに使用される可能性のある個人識別情報(PII)をハッカーに提供した場合は、TransUnion、Equifax、Experianに連絡してクレジットを凍結することができます。これにより、詐欺師があなたの情報を使用してあなたの名前でローンを組んだり、新しいクレジットカードを申請したりするのを防ぐことができます。
不審な取引がないか、クレジットカードと銀行の明細書を監視します。クレジットとPIIの監視を含む、ID盗難防止サービスを利用することもできます。高度なサービスには、あなたの名前で作成されたプロファイルを検索するためのソーシャルメディア監視、盗まれたデータの復旧支援やID復旧プロセスなどのその他のサービスが含まれます。
また、ソフトウェアの更新またはデバイスの新しいパッチが利用可能になったらすぐにダウンロードしてください。これらは、セキュリティの脆弱性を修正し、将来の攻撃を防ぐのに役立ちます。
