Facebookアカウント乗っ取りから始まって最後には銀行口座がスッカラカンにされる詐欺の手口とは

あるユーザーのFacebookアカウントがクラッカーに乗っ取られ、それをきっかけに親類の銀行口座から預金がスッカラカンになるまで抜き取られる……そんな詐欺事件が発生しており、その手口が明らかにされています。

From full Facebook account takeover to an empty bank account – BadCyber
https://badcyber.com/from-full-facebook-account-takeover-to-an-empty-bank-account/

知らぬ間に銀行が空っぽにされてしまうという恐るべき事件は、ポーランドで発生しているとのこと。サイバーセキュリティ関連メディアのBadCyberはその手口をサイトで明らかにしています。

一連の手口は、まずFacebookアカウントの乗っ取りから始まります。ここでは、マルウェアやフィッシング詐欺などの方法で不正に取得されたユーザーのログイン情報が用いられ、二段階認証などのセキュリティ対策を施していないユーザーが格好の標的になるとのこと。乗っ取りに成功したら、クラッカーはまずチャットの履歴をチェックしてアカウント主と緊密な関係にある人物の特定を行います。ここで標的にされやすいのは、アカウント主の家族で、特に祖父や祖母といった相手が狙われることが多い模様。

詐欺行為にふさわしいと思われるターゲットを見つけたら、クラッカーはその人物に対して「ねえおばあちゃん、僕のプリペイド式電話の料金をチャージするのに22ポーランドズウォティ(約650円)を送ってくれない？」というメッセージを送ります。そして、ターゲットが送金に同意したら、次のようなリンクを送信します。

「DotPay」はポーランドで送金サービスを行っている企業名で、「platnosc」がポーランド語で「支払い」を示す単語です。このようなサービスはポーランド国内で広く使われており、国内の銀行と連携してさまざまな取引決済の場で使われているとのこと。ターゲットに送られるリンクには送金先と送金額があらかじめ設定されており、ターゲットはリンクをクリックして銀行のサイトにログインするだけで、簡単に送金を実行できるようになっています。

ただし、実はこのリンクは以下のように巧妙に模倣された詐欺サイトにリダイレクトされるようになっているとのこと。クレジットカードや銀行のロゴなどが表示されており、一見すると偽サイトだとはわかりにくいように作られています。

ターゲットがこのサイトを通じて銀行のアカウントへのログイン情報を入力すると、それらが全てクラッカーの手に渡るようになっている模様。ただし、この取引で移動される金額は22ポーランドズウォティだけであり、銀行口座の残高を根こそぎ盗まれるにはほど遠い状況です。ここでクラッカーが悪用するのが、「trusted transfer」(信用された送金)と呼ばれる機能です。

この機能を使うと、同一の口座に対して行われる送金は、全てSMSの認証コードを利用せずに実行することが可能になります。これは、ユーザーの利便性を向上させるために、普段よく使う取引に関しては手順を省くために実装されている機能。赤枠で示されている部分には「送金先リストに追加する」と記載されており、ここにチェックを入れておくことで今後この口座に対する送金は面倒な認証プロセスを経ずに実行することが可能になるというものです。

このようにしてクラッカーはターゲットの銀行口座を乗っ取ることで、自身の口座へとありったけの残高を送金し、さらにビットコインに換金してしまうとのこと。このような手口がポーランドではここ数週間の間に多く確認されているそうです。銀行レベルでこの不正取引を見つけて規制することは難しく、有効な防護策としてはFacebookのアカウントを乗っ取られないために二段階認証などでセキュリティを強化しておくしかない模様。また、親族に対しても怪しい送金依頼には応じないように注意を喚起しておくしかないようです。

GIGAZINE