「紛失したiPhoneなどが見つかった」としてApple IDなどを盗み取ろうとするフィッシングサイト 9
ストーリー by hylom
これは引っかかってしまいそうだ 部門より
これは引っかかってしまいそうだ 部門より
「紛失したiPhoneやiPadが見つかった」というメールで誘導を行うフィッシングサイトが登場しているという(INTERNET Watch)。
このメールはAppleから送信されたように装われており、メール内にはiCloudの偽ログインページに誘導するURLが記載されているという。紛失したiPhoneやiPadの情報を調べようとURLにアクセスし、Apple IDやパスワードを入力してしまうとこれらの情報が盗まれてしまうという仕組みだ。
iPhoneやiPadには盗難対策機能があり、端末の紛失時にはiCloud経由で端末をロックしたり、第三者によって操作や売却ができないような仕組みがある。これらはその端末に紐付けられたApple IDが分かれば解除できるため、Apple IDを搾取するためにこのようなフィッシングが行われている模様。
対策? (スコア:0)
ウチのカミサンは、このテのパスワード入力させるサイトでは必ず最初の1回はデタラメなパスワードを入力すると行ってましたねえ。
正規のサイトならログインエラーになるハズですからね。
Re:対策? (スコア:1)
頭の良い偽サイトなら、どんなパスワードでもエラー表示するだろうね。
何度も同じパスワードを入力してきたらそのパスワードが本物だと確信できるし、もし別のパスワードを試してきたら、おそらく別のサービスで使ってるパスワードだからこれも頂ける。
Re: (スコア:0)
もっと言えば、入力されたデータをリアルタイムで正しいサイトに放り込んで
答え合わせできるんだから、通常と同じようにでたらめならエラーで、
正しければ正しいと表示することも可能。
結局、URL見て正規のサイトであるか確認するしかないんでは。
#正規サイトがhttpsではなかった場合は…あきらめる方向で一つ
Re: (スコア:0)
スコア0ばっかりだけど、一連の話はすごくためになりました。
ターゲットが狭いな (スコア:0)
紛失した人しか引っかからない...
もしそんなメールを紛失した人にだけ狙って送るってなら相当すごいと思う。紛失したデバイスを拾ったか、近くで観察してるってことだもの。もっと怖い。
Re:ターゲットが狭いな (スコア:1)
> 紛失したデバイスを拾った
そのようですよ。
「iPhoneを探す」状態になっている端末に対して、表示される持ち主連絡先にメールを送っているそうな。
まったく心無い人もいるもんですが、「iPhoneを探す」アプリ側も、もうちょっと賢い通知方法を考えないといけませんね。持ち主への直接連絡先の提示じゃなく、Appleなり何なり第三者を中継させるとか。
Re:ターゲットが狭いな (スコア:1)
「iPhoneを探す」がオンになっている端末を初期化すると、起動時にApple IDとそのパスワードが求められるのですが、メールアドレスであるApple IDについては、以下のような一部が伏せ字になったヒントが表示されます。
e*****e@e*****.com
ですので、Apple IDが丸分かりなワケではないのですが、あとは力業でメールを送っているのでしょうかね。
ヒントが表示されても自分のIDを思い出せない人も多い様ですが・・・。
Re: (スコア:0)
しかも、昨年のセレブの写真漏洩ハックの事件で2段階認証が導入されたのはいいですが、そのまえに「どこかでログインしたら通知メールが来る」というのを実装しまして、
盗まれたiPhoneを探すためにiCloudにログインしたら盗んだ人に通知されるという致命的なオチがついてるのが現状らしい。
搾取 (スコア:0)
詐取を「さくしゅ」って読んでるの?