Malwarebytesは8月18日(現地時間)、「How to spot the latest fake Gmail security alerts | Malwarebytes」において、Gmailのセキュリティ警告を装った新たな詐欺手口について注意を促した。
攻撃者はGoogleサポートを装い、被害者に「アカウントが不正アクセスを受けた」と警告する。続けて、パスワードをリセットするよう誘導し、巧妙にアカウント情報を盗み取る。この手口は規模を拡大しており、多くの利用者が標的となっている。
-
How to spot the latest fake Gmail security alerts|Malwarebytes
Googleのサポートを偽る攻撃者
詐欺の流れは単純だが効果的だ。まず攻撃者はGoogleからの正規のサポートを名乗り、パスワードリセットを促す。次に被害者へ「アカウントリセットメール」を送信し、そこに記載された認証コードを読み上げさせる。そのわずかな時間差で攻撃者は被害者のアカウントに侵入し、乗っ取りを実行する。つまり、サポートを装った「親切な指示」が実際には罠になっている。
Redditに、「カリフォルニアからの電話でアカウントを奪取しようとする人物」に遭遇した被害の報告があったという。このユーザーは詐欺師に反論したが、相手は「番号を検索して折り返し電話をするように」とさらに信憑性を高める演出を行った。しかし電話をかけても人間が応答することはなく、完全な虚偽であることが判明した。こうした強引さが攻撃者の狡猾さを示している。
Amazonユーザーにも同様の被害が拡大
同様の事例はGoogleだけでなくAmazonユーザーにも広がっている。米国連邦取引委員会(FTC: Federal Trade Commission)は、Amazonの偽メールによる「返金詐欺」について警告を発した。
メッセージには「商品が検査に不合格となったため返金する」と書かれ、リンクをクリックさせようとする。リンク先は情報窃取用の悪意あるサイトであり、利用者に深刻な被害をもたらす危険がある。大手テクノロジー企業の名前を利用することで、詐欺師は信頼を悪用している。
Googleは決して電話しない- 被害者が語る防御の心得
こうした状況に対して、GoogleやAmazonは利用者向けに正規のセキュリティ警告の特徴を解説している。Googleは「正規の通知は必ずアカウントのセキュリティページに記録される」と強調し、サインインページに誘導することはないと説明している。
Amazonも同様に「不審なリンクや返金メールに注意せよ」と注意喚起している。Reddit利用者が残した言葉「Googleは決して突然電話してこない」が端的に本質を突いている。ユーザーは常に疑いを持ち、コードやパスワードを第三者に渡さない姿勢を保つことが最良の防御策だ。
