Amazon Customers Receive Smishing Warning After Receiving Fake Texts
2022/10/17 InfoSecurity — Amazon と消費者保護サイトである Which? が、Amazon のユーザーを狙う新しいテキスト・メッセージ詐欺について警告している。Amazon は、「我々を装う詐欺師が、我々の顧客とブランドを危険にさらしている。これらの詐欺行為は我々のショップの外で行われるが、我々は顧客を保護し、詐欺の回避についてユーザーを教育するための投資を続ける」と述べている。
このフィッシング詐欺の手口は、ユーザーが偽のログイン通知リンクをクリックすると、名前/生年月日/携帯電話番号/自宅住所/メールアドレスなどを盗むために設定された、不正な Web ページに誘導するというものだ。
Amazon は、Which?com の取材に対して、「我々は、消費者の安全を守るために、アカウントを保護し、悪質業者を法執行機関に照会できるよう、詐欺の疑いがある場合は報告するよう顧客に勧めている。詐欺を特定し、報告する方法についての追加情報は、当社のヘルプページを参照してほしい」と述べている。
Which? は、この開示を受けて、偽の URL を National Cyber Security Centre (NCSC) に報告したと述べている。
しかし、ESET の Global Cybersecurity Advisor である Jake Moore は、このような詐欺は今後も続くと指摘しており、「Amazon は世界最大のショッピングサイトの1つであるため、必然的に脅威アクターたちは、その顧客であろうがなかろうが、手に入る限りのアドレスへ向けて一斉メールを送っている」と述べている。
Moore によると、通信を確認するためのチェックが限られているため、テキスト・メッセージによる詐欺は今も増加しているようだ。また、メールを使った詐欺の手口は、人を巧みに操ることで、悪意の指示を実行させる。
彼は InfoSecurity に対して、「テキスト・メッセージのリンクをたどると、見覚えのあるサイトにたどり着くかもしれない。そのサイトは偽物であるが、優れたスミッシングのテキストと同様に、本物のサイトのように見える」と語っている。
セキュリティ専門家たちは、このような危険に対処するために、ユーザーは常にメールを無視し、代わりにスマートフォンにインストールされている純正のアプリを使用し、アカウントを確認するために本物の Web サイトを訪問するなどして、警戒する必要があると述べている。
Moore は、「銀行口座の詳細やパスワードなどの情報を渡してしまうと、ユーザーは現金を取り戻すことができなくなる可能性がある」と結論付けている。
この、Amazon の顧客を狙ったスミッシングの試みは、偽の Amazon ギフトカードを使用して、様々なマルウェア・ツールを展開したハッキング・キャンペーンを、Cisco Talos が公表した数カ月後に発生している。
おそらく、ダークウェブなどで入手したメール・アドレス・リストに対して、Amazon の顧客であろうがなかろうが、片っ端からフィッシング・メールを送りつけているのでしょう。10月10日の「Caffeine という Phishing-as-a-Service:ディフォルト標的は Microsoft 365」で紹介したように、低スキルの脅威アクターであっても、簡単にフィッシング・キャンペーンを実施できる時代になっています。あらゆるメールを疑ってかかるという、心のゼロトラストが必要ですね。
IoT OT Security News 
You must be logged in to post a comment.