シマンテックは6月17日、ユーザーを欺いてメールアカウントにアクセスする、パスワード再発行詐欺が横行しているとして、同社ブログで注意喚起を行った。
これは、モバイルユーザーを標的とする特定のスピア型フィッシング攻撃で、攻撃の目的は標的のメールアカウントにアクセスすること。ソーシャルエンジニアリングのテクニックが巧妙なため、手口に引っかかる人がすでに現れていることも確認されている。
メールサービスのプロバイダーは、パスワードを忘れてアカウントにアクセスできないユーザーのためにパスワード再発行の機能を用意しており、大抵は携帯電話の番号に確認コードを送信している。攻撃者はこの仕組みを悪用する。
シマンテックが確認したケースのほとんどは、Gmail、Hotmail、Yahooメールのユーザーに影響するもの。Gmailの場合、携帯電話番号を登録しておけば、パスワードを忘れた場合でもGoogleから携帯電話に確認コードが送信され、アカウントにアクセスできるようになり、パスワードを再設定できる。ここで犯罪者が登場する。
犯罪者が、ユーザーのメールアドレスと携帯電話番号はわかっているが、パスワードがわからない場合、アカウントを乗っ取ろうとしているユーザーのGmailのログインページにアクセスし、メールアドレスを入力して 「お困りの場合」リンクをクリックする。これは、ユーザーがログイン情報を忘れた時に使うリンクだ。
「覚えている最後のパスワードを入力してください」、「端末(機種とモデル番号)でのパスワード再設定の確認」などのオプションが表示されるが、犯罪者はどれもスキップして、「確認コードを携帯端末(携帯電話番号の末尾)で取得します」というオプションが表示されるページまで進む。
確認コードがSMSで6桁の確認コードが本当のユーザーに送付されるが、同時に犯罪者は、ユーザーに「Google があなたのアカウントで異常なアクティビティを検出しました。不正なアクティビティを止めるために、モバイルデバイスに送信されたコードを返信してください」というSMSを送信する。
ユーザーはこれを正規のメッセージと考え、確認コードを犯罪者に送付してしまう。犯罪者は、この確認コードを使って仮パスワードを手に入れ、メールアカウントにアクセスできるようになる。
シマンテックでは、この攻撃の対処方法として、確認コードに関するSMSメッセージには注意するように警告している。