QR codes used in fake parking tickets, surveys to steal your money
2023/05/08 BleepingComputer — QR コードは便利なものであるため、スーパーボウルの広告や駐車料金の徴収といった、合法的な組織で多く利用されている一方で、この技術を悪用する詐欺師も出現している。シンガポールではタピオカの専門店で QR コード・アンケートに答えた女性が $20,000 を騙し取られ、米国や英国では QR コード付きの偽駐車違反キップの事例が確認されている。
寝静まった深夜に攻撃される
シンガポールに住む女性が、タピオカ・ショップを訪れた後に、ステルス詐欺に遭ってしまい $20,000 を失った。この 60歳の女性は、タピオカ・ショップのガラス扉に貼られたステッカーを見て、QR コードをスキャンしてアンケートに答えると、ミルクティー1杯が無料になると言われたそうだ。
ロイヤリティやリワードのプログラムが、このようなキャンペーンをしばしば宣伝し、そのためにQRコードを使用していることを考えると、たとえ技術に詳しい人であっても、これだけで危険な兆候を感じることはないかもしれない。
この 60歳の女性は、ステッカーの QR コードをスキャンし、サードパーティのアプリを Android 端末にダウンロードしてアンケートに回答した。その夜、彼女がベッドに入ると、突然スマフォが光った。彼女がダウンロードした偽のアンケート・アプリが、彼女の銀行口座から $20,000 を吸い上げていたのだ。
この被害者のニュースを地元メディアに伝えた、OCBC 銀行の Head of Anti-Fraud である Beaver Chua は、この詐欺について狡猾だと述べている。彼は、「この詐欺は、きわめて狡猾に、被害者のスマフォを乗っ取っている。さらに言えば、被害者はインターネット・バンキング口座も乗っ取られるため、残高がゼロになっても気がつかない」と付け加えている。
被害者がダウンロードしたマルウェア・アプリは、ユーザーに対してスマフォのマイクとカメラへのアクセスを許可するよう求めている。さらに、特別なニーズを持つユーザーを支援するための Android Accessibility Service へのアクセスも求め、この悪意のアプリによるスマフォ画面のコントロールを可能にしている。
その後に詐欺師は、被害者のモバイル・バンキング・アプリの使用状況を監視し、日中にユーザーが入力したログイン情報をメモする。これらの権限を取得することで、詐欺師は被害者の監視が可能となり、就寝時などに気付かれることなく、犯行に及ぶことが可能になる。
Chua は、「マルウェア詐欺は、特に目新しいものではないが、詐欺師たちは革新的になってきた。Web サイトでの悪意のポップアップ・バナーが最も一般的な手口だが、正規の QR コードと悪意の QR コードを、消費者は区別できなため、飲食店の外に偽の QR コードを貼り付けるという手口も、被害者を騙すための狡猾な方法となる」と述べている。
昨年にシンガポール警察は、QR コードを使用するデジタル ID システム “Singpass” を悪用する詐欺師がいることを、市民に対して警告した。被害者に対して偽のアンケートに回答するよう求めた詐欺師は、その後に、金銭的報酬と交換する前の確認プロセスと偽り、公式アプリを通じて Singpass の QR コードをスキャンさせていた。
同警察は、「詐欺師が提供した Singpass QR コードは、正規の Web サイトから取得したスクリーンショットであり、QR コードをスキャンした被害者は、さらなる確認をせずに取引を承認することで、悪意のオンライン・サービスへのアクセスを与えてしまった」と指摘している。
偽の駐車券と QR コード
その一方で、米国と英国では、車両のフロントガラスに、詐欺師が偽の駐車券を貼り付ける事例が確認されている。先週に Reddit のユーザーが、サンフランシスコの市役所から発行されたとする、偽の駐車券を発見した。
彼の写真を共有するポストは、「誰もが知っているように、サンフランシスコでは駐車違反券がよく貼り付けられる。詐欺師はますます大胆になってきている!! 偽の駐車違反券を発行している!! 参考までに:サンフランシスコの駐車場は SFMTA が管理しているため、キップに市のロゴが入ることはない !! 気をつけてほしい。 このようなものを貼り付けられたとき、その QR コードは銀行口座にリンクしている。ただちに捨てるべきだ」と警告している。
興味深いことに、5月4日以前に発行された偽チケットの、反則金支払いの期限は 5月5日になっている。なお、上記の画像の QR コードは、現在は無効になっている URL 短縮リンクにつながっていた: hxxps://qr.link/g43phs
さらに、このリンクは SFMTA (サンフランシスコ市交通局) の公式 Web サイトの外観をコピーした不正な Web サイト、hxxps://sfmta-project.vercel.app にリダイレクトさせていたようだ。
この事件について、サンフランシスコのテレビ局 KRON4 が SFMTA に確認したところ、脅威アクター作成した偽 Web サイト (左) と、本物の Web サイト (右) が、ほぼ同じに見えることが、当局により説明されたという。
また、この偽サイトが、Square のペイメント・フォームを使用して、不正な取引を処理していたことも、ネットユーザーから指摘された。問題の不正なドメインと Square のアカウントは、その後に無効化されている。
ジャーナリストである Kim Zetter は、「このような事態は2度目である。前回はテキサス州のパーキング・メーターの悪質な QR コードだった。今回は、サンフランシスコの窃盗団が、車に偽の駐車券を置き、悪意のある QR コードを読み取らせ、スマフォを偽の Web サイトへと誘導し、罰金を支払わせようとしていた」と述べている。
疑わしいと感じた場合には、駐車違反の適用や法的対応を、政府機関の公式 Web サイトで確認する必要がある。たとえば SFMTA は、サンフランシスコ市の Web サイトに、同機関が発行した違反金や罰金を調べるための専用 Web ページを設けている。
皮肉なことに、SFMTA の Web ページは、最終的にサードパーティのドメイン:wmq.etimspayments.com にホストされている、駐車違反のポータルにユーザーを誘導している。それは、脅威アクターが設定した不正な Web サイトではないが、区別することは不可能だ。
ワイト島を含む英国の地方自治体も、パーキング・メーターのクイックペイを装う偽の QR コードに注意するよう、住民に呼びかけている。
その通知には、「人々は、コードをスキャンして、クレジットカード情報を入力すると、駐車場の料金が支払われると思うだろう。しかし、詐欺師が支払いの詳細を取得する、偽の Web サイトへと誘導される。最近のことだが、サンダウンの駐車場で、機械に貼り付けられた偽の QR コードを使って駐車料金を支払おうとしたところ、銀行口座から現金を盗み出された人がいる。その後に、クレジットカード会社からの転落により、詐欺に遭ったことに気づいた」と説明されている。
その後、同協議会は、パーキング・メーターの周囲に不正な QR コードが貼られていないかを、確認する措置をとっている。また、現在は、同機により QR コード支払いを行っていないとしている。
QR コードは便利ですが、それが正規のものなのかどうかを確認する術が、まったくありません。さらに言うなら、このようなサーバー犯罪が仕掛けられても、その兆候すら感じないはずです。それにしても、被害者が寝静まったころに動き出すとは、よく考えていますね。海外の話ですが、すぐに日本にも入ってくるでしょう。ご注意ください。よろしければ、以下の関連記事も、ご参照ください。
2022/01/23:FBI 警告:偽の QR コードを使った金融詐欺
2021/10/26:QR コード・メール・フィッシング:MS の認証情報を狙う
IoT OT Security News 
You must be logged in to post a comment.