T-Mobile customers warned of unblockable SMS phishing attacks
2022/04/15 BleepingComputer — 現在進行中のフィッシング・キャンペーンでは、SMS のグループ・メッセージで送信されるブロック不能なテキストを介して、T-Mobile の顧客対して悪意のリンクが送りつけられている。New Jersey Cybersecurity & Communications Integration Cell (NJCCIC) は、この新しい SMS フィッシング・キャンペーンにおいて、複数の顧客が標的にされたとの報告を受け警告を発した。NJCCIC は、ニュージャージー州における国土安全保障の組織であり、インシデント報告/サイバー脅威の分析/情報共有などに注力している。
フィッシング・メッセージには “贈り物 ” が付いている
このフィッシング・メールは、受信者が T-Mobile からの請求に対する支払いに感謝を述べ、ギフトに誘導するための悪意のリンクを開くよう促す。金曜日に NJCCIC は、「メッセージの内容は様々だが、通常は支払に感謝し、ギフトを提供すると述べている。この種のメッセージには、プレゼントを受け取るためのリンクが含まれている。こうしたリンクは、アカウント情報や個人情報の窃取や、マルウェアのインストールを意図する、悪意の Web サイトにつながる可能性がある」と説明している。
2022年3月にも、Verizon Wireless と の顧客を狙ったスミッシング攻撃があり、通信事業者になりすましたテキスト・メッセージは、ターゲットの電話番号に基づき送信されたように見せかけていた。連邦取引委員会も、ユーザーの電話番号へメールを送ってくる、詐欺師に気をつけるよう警告している。
FTC は、「彼らは、あなたの電話番号に基づき、メッセージを送っているように見えるように発信者番号を変更しているが、自分からのテキストを受け取ることで、あなたの注意を引くはずだ。それが、彼らが狙っていることである」と述べている。
攻撃者は過去に侵害した情報を利用している可能性が高い
NJCCIC によると、この新しいスミッシング・キャンペーンが、T-Mobile の顧客をターゲットにしている可能性が高いとしている。なぜなら、以前に 過T-Mobile 顧客に影響を与えたデータ流出があり、数百万人の過去/現在/将来に影響が生じる可能性があるからだ。
T-Mobile における 3% の顧客が所有する情報が、ハッカーにより不正アクセスされた2018年以降でも、他に5件のデータ侵害を T-Mobile は公表している。2019年に、T-Mobile はプリペイド顧客のデータを流出させ、2020年3月にはハッカーによる従業員メール・アカウントへの不正アクセスが生じている。2020年12月には、顧客のネットワーク情報 (電話番号/通話記録) にも不正アクセスが生じた。
それから1年後の2021年2月には、T-Mobile の社内アプリケーションへの不正アクセスが生じた。さらに、数カ月後の2021年8月に攻撃者は、キャリアのテスト環境に侵入した後に、T-Mobile のネットワークをブルートフォースで突破した。そして、2021年12月に T-Mobile は、2021年8月のデータ漏洩が、ごく少数の顧客に生じた SIM スワップ攻撃と関連していることを確認した。
先月、ニューヨーク州司法長官事務所(NY OAG)も、T-Mobile の 2021年8月のデータ侵害の被害者に対し、盗まれた情報の一部がダークウェブで売りに出されることになり、個人情報盗難リスクが高まっていると警告している。FTCによると、2021年にアメリカ人が詐欺で失ったものは $5.8 billion 以上と報告されており、前年に報告された損失と比較して70%以上の大幅な増加となっている。
スミッシングに対する防御対策
この、支払いに対するギフトを約束する、継続的なスミッシング攻撃を防御するためには、未知の連絡先から受け取ったテキスト・メッセージのリンクは、クリックしないようにする必要がある。その代わり、手動で T-Mobile の公式 Web サイトを開くようにしてほしい。また、SMS で配信されたリンクをクリックしてしまったときには、リダイレクトされたサイトで重要な個人情報などを決して提供しないようにする必要がある。
T-Mobile のサポート・ページでは、オンラインの安全に関する推奨事項や、詐欺のブロック/防止に関する情報が提供されている。FTC も、携帯電話の個人情報を保護するための、詳細な情報を提供している。また、FBI は、SIM ハイジャック攻撃から身を守るためのガイダンスを共有している。
ブロックできない SMS フィッシング攻撃って、いったい何だろうと思いながら訳しましたが、自分の電話番号をブロックするのはあり得ない・・・ということなのでしょう。それにしても、T-Mobile 攻撃はやり放題という感じです。よろしければ、T-Mobile で検索も、ご利用ください。
IoT OT Security News 