dアカウントのID/PWを不正入手→iTunesカードを大量購入する被害が発生中

スポンサーリンク

「株式会社NTTドコモより重要なお知らせ」とする件名でメールを配信し、悪意あるWebサイトへの誘導によりdアカウントのログイン情報を搾取→iTunesギフトカードを大量購入される被害が増えているようなので注意。

■ドコモを語るメール(フィッシング)が配信される
ドコモを語るメール(フィッシング)が配信される

攻撃手順は以下。

(1)「キャリア決済がApple IDに不正利用された」とするメール(上記)を攻撃者が送信する
(2)メールに記載されたURLから偽サイトに接続する
(3)攻撃者の用意した偽サイトでdアカウントのログインを促す
(4)攻撃者がApple IDの決済にキャリア決済を設定する
(5)利用者の携帯電話宛にSMSで4桁のPINコードが送信される
(6)偽サイトでPINコードを入力することで支払情報の登録が完了する

(3)の偽サイトでdアカウントのID/パスワードを入力、さらに(6)でPINコードを入力してしまうと、攻撃者にdアカウントのID/パスワードが漏洩し、キャリア決済でiTunesギフトカードなどを不正購入される被害が相次いでいる模様。

Twitter / Facebookに掲載されているメールやWebサイトの内容をみる限り、怪しげな日本語や、(偽)サイトの作りが「公式っぽくない」と思える箇所はほぼ無く「一目見てフィッシングと判断できる」とは言い難く、(良くは無いけど)良くできた攻撃手段と思う。

・メールの送信者が正規の送信者であるか確認する
・リンク先のURLがドコモが提供するサイトか確認する

と言った自衛策が必要となる。

悪意あるサイトかどうかの見極めが難しい

一連のフィッシングに関する情報を整理していて気付いたのは、フィッシングメールに記載されている「ntt-docomo.co.jp」の情報をGoogleで探そうと思っても、該当ドメインがドコモ以外の第三者による不正サイトの可能性が高い。という情報が見つけにくい。
※検索サイトで検索すると、正規のドコモサイトに関する情報ばかりが表示される。

■「ntt-docomo.co.jp」で検索すると…
「ntt-docomo.co.jp」で検索すると…

■正規サイトの情報が表示される
正規サイトの情報が表示される

このため、URLにアクセスする前に、リンク部分をロングタップ(iOS)して実際の飛び先を確かめる、メールの送信者が正規の送信者かどうか確かめる等の予防が必要。

ドコモでは、dアカウントのログイン情報を不正入手するWebサイトや、ドコモを装ったメール配信に対する注意喚起を掲載しているので、被害に遭う前に予防策を取っておくことをオススメ。

ドコモの注意喚起は以下にて。

NTTドコモのdアカウントログイン画面にきわめて似ているウェブサイトにご注意ください 2018年2月5日 | dアカウント

ドコモを装ったメールにご注意ください! | お知らせ | NTTドコモ