Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ビッシングは在宅時代の穴となるか

カスペルスキーブログにビッシングに関する記事が出ていました。

f:id:foxcafelate:20210701065133p:plain

コンピューターへのアクセスを要求する技術サポート、支払いを要求する関係する税務サービススペシャリスト、「電話を返す」医療機器サプライヤーなど、合法ではない多くの人々の間で、誰もがもう電話に出ないのは不思議です。なんらかの形の電話詐欺を経験したことがない人を見つけるのは難しいでしょうが、その名前はあまり知られていません。

(中略)

米国連邦取引委員会の2019年のデータによると、詐欺の電話の6%だけが金銭的損失に終わった。それにもかかわらず、それが起こったとき、被害は非常に大きく、中央値は960ドルでした。

詐欺師の餌に落ちる可能性があるのは、すべてを見たと思っている専門家ですら。多くの詐欺師は、最も警戒している標的でさえも信頼を得るのに優れています。

一方では、電話自体が古い通信手段であるため、ビッシングは通常のフィッシングよりも保守的です。一方、デジタル時代の大規模なデータ漏洩により、音声詐欺に新たな力がもたらされました。詐欺師が地球上のほぼすべての人に関するこのような大量の情報を所有したことはかつてありませんでした。インターネットテレフォニー(VoIP)の急増は、サイバー犯罪者の手に渡り、電話番号を操作して自分の足跡を隠すことができるようになります。

Kaspersky Daily Blog記事より引用)※機械翻訳

 

キタきつねの所感

ビッシングはVoice+Phishingの略であり、スミッシング(SMS+Phishing)の次に警戒すべき攻撃手法とも言われる事があります。

とは言え、日本語の壁とも呼ばれる事が多い言語障壁のお陰か、振り込め詐欺の手法以外、あまり日本ではニュースとして出てきてはいません。

 

そうした中、カスペルスキーのセキュリティ啓蒙の記事は、まだ日本で警戒すべきレベルでは無いとは思うのですが、人間を騙すソーシャルエンジニアリング手法を使った詐欺の技術の進化が日進月歩である事を考えると、注意しておくべき内容の様に思えました。

 

記事で最初に挙げられているビッシング手法はテレマーケティングです。メールやSMSでは似た様な、宝くじ10億円に当たったが手数料の払い込みが必要・・・といったものを偶に見かけますが、海外では同様な”電話攻撃が観測されている様です。

※日本では(日本語の壁以外に)高額な宝くじが海外程にある訳でもないので、対象者の実感が薄く、あまり日本で流行らない攻撃な気がしますが、日本的にカスタマイズされたオファー(お得情報)でシナリオを書き換えられると、例えば本人確認でカード情報を窃取するといった事も可能かも知れません。

テレマーケティング
テレマーケティング詐欺は、申し出が良すぎて真実ではなく、圧力が時間に敏感すぎてうまく終わらない傾向があります。いくつかの例には、宝くじの当選(チケットを購入しなかった場合のボーナスポイント)、クレジットカードの金利の引き下げ、および拒否するのが難しいその他の有利なオファーが含まれます。彼らは共通してその場で決定を下す必要があり、それに加えてあなたから彼らへの少額の前払いが必要になる傾向があります。

申し出について考える時間があれば、それは(通常)明らかに詐欺です。あなたが支払いをするなら、それは詐欺師に行くだけで、文字通り彼らの犯罪に対して報酬を与え、また電話番号の漏洩したデータベースを使って何千人もの人々に電話をかけ詐欺することの価値を強化します。

 

次に挙げられていたのが、政府機関を装った、例えば税金還付、感染症対応休業支援金/給付金といった政府機関でも混乱が発生している(していた)制度を悪用したシナリオは、まだまだ警戒すべきと言えるかもしれません。

※現在だとコロナワクチン接種で優先接種、職域接種、接種に係る書類不備・・・といった旬なテーマに便乗して人を騙すシナリオは容易に想像できます。区役所のふりをした電話・・・私はともかく同居家族や、遠方の両親まで含めて、”騙されない”かと考えると少し怖いものがあります。

政府機関
最も一般的なスキームの1つは、未払いまたは未払いの税金です。「税務署」が電話をかけ、延滞金を支払うか罰金を科すかの選択肢を提供します。オファーはまもなく期限切れになり、その後罰金が増額されます。

繰り返しますが、時間感度を追加すると機能します。納税機関が市民とどのように連絡を取り合うかを考える時間があれば、締め切りの構造は言うまでもなく、平均的な市民はおそらくそのような電話が不正であると理解することができます。しかし、時を刻む時計と(明らかに)厳格さで知られる政府機関に直面して、詐欺師に有利なオッズを調整します。

 

3つ目は、技術サポート絡みの詐欺手法。

技術サポートは、元々電話で提供される事が多いので、ビッシングとは非常に相性が良いかと思います。広義にはフィッシング⇒偽技術サポートへの電話といった攻撃もビッシングに含まれるかと思います。

記事にも書かれていますが、偽アンチウィルスソフトのインストールや、サポートの為のリモートアクセスツールのインストール、又はシンプルに認証情報を聞き出してしまう手法が一般的です。

技術サポート
未承諾のテクニカルサポートコールの場合、詐欺師は、製品の実際のユーザーとつながる可能性を高めるために、有名な大規模なブランドを選択します。発信者は通常、被害者のコンピューターに問題を発見したと主張し、ログイン資格情報またはコンピューターへのリモートアクセスを要求します

より洗練されたスキームには、いくつかの準備が含まれます。たとえば、疑わしい問題の説明と問題を修正するために呼び出す電話番号を含むポップアップウィンドウを呼び出すマルウェアをコンピューターに感染させるなどです。

 

最後はクレジット(キャッシュ)カード詐欺手法です。クレジットカード不正があった際に、実際にカード会社は電話をかけてくる事もある為、ビッシングが成功しやすいかと思います。

学生時代に初めてクレジットカードを持ってから大分長い年月が経ちますが、幸い私は一度もカード会社から「この手の電話」を受けた事がありません。

しかし、逆に言えば『正常のオペレーションを知らない』という事でもあるので、この分野のセキュリティのプロであるべき立場ではありますが、油断していると危ない気がしています。

※カード会社のオペレータからはOTPを含むパスワード(ネットログイン情報)やセキュリティコード(CVC/CVV等)を聞く事は無いかと思いますので、その辺りがビッシング(詐欺電話)を見分けるポイントとなるかと思います。

バンク
詐欺の最終的な目的はお金であるため、もちろん一部の詐欺師は銀行から電話をかけるふりをします。一般に、彼らは疑わしいアカウントアクティビティを報告していると主張します。これにより、実際には、CVC / CVVコードやテキストメッセージからのワンタイムパスコードなどの詳細を要求することができます。このような詳細を備えた偽の銀行の従業員は、実際の口座を簡単に一掃することができます。

 

参考まで、カスペルスキー記事でのビッシング(詐欺電話)への注意点は以下の通りです。

・銀行や政府機関からの電話が携帯電話番号からのものであると思われる場合、それはほぼ間違いなくビッシングです。電話番号が別の地域のものである場合は、これらのオッズを2倍にします。ただし、公式に見える番号は、正当な通話を保証するものではありません。最新のテクノロジーにより、発信者IDのなりすましが可能になります。
・発信者が、特に脅迫的な方法で機密情報を抽出しようとすると、それもビッシングの兆候です。一般に、個人情報を見つけようとする試みは詐欺の兆候です。実際の銀行や税務署の従業員があなたについて必要とする情報は、おそらくすでに持っています。覚えておいてください。私たちはあなたではなく、彼らが始めたコミュニケーションについて話しているのです。
・誰かがあなたに金銭的な取引をするように促し、締め切りを引用した場合、それは間違いなく詐欺です。
・発信者がコンピュータにソフトウェアをインストールして、彼らがあなたに話しかけるために呼び出した問題を修正するようにあなたを説得しようとすると、それはおそらくあなたにとってひどく終わるでしょう。

 

余談です。最近は「選挙に行きますか?」といったコンピュータアンケートの電話がかかってきたのですが、一方的にまくしたてるアンケート依頼のコンピュータ音声が、留守電のメッセージと”まったくかみ合わない”事に笑ってしまいました。

※留守電「お名前とご用件を・・・」、コンピュータ「投票に行く方は1を・・・」が同時に聞こえてくるのは結構シュールです。

 

尚、詐欺電話の対処法で有効だと思うのが、知らない番号(番号非表示)かからかかってきた電話は出ない、です。

番号を控えておき、必要だと思えば、その番号にかけ直す位の気持ちでいると、万が一騙された場合も自分側に発信履歴(相手の電話番号)が残りますので、詐欺対策の1つとして有効だと思います。

※(時間があれば)かかってきた電話番号をGoogleに入れて検索すると、、、色々教えてくれますよ。

※コンピュータアンケートから詐欺コールセンターに接続するパターンは、かなり怖い攻撃シナリオが書けそうな気がします。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 詐欺の電話のイラスト(女性)

 

更新履歴

  • 2021年7月1日 AM