恥ずかしながらフィッシングに引っかかったが、SMS認証を本人確認に使うご時世にかなり危険な話なので報告してみる

会社の先輩がスパムアプリに感染したらしく、その人からフィッシングサイトへの誘導メッセージが来て、私ともあろうものが騙されてしまいました。

ここでも紹介されていますが、この方自身は経験してないのかすごくあいまいな情報しか書かれていないので、ちょっと詳細をレポートしてみます。(「いますか」で始まるという説明だけで、十分警戒はできるので有効だとは思います。私は引っかかった後から知りました)

上述のように「いますか」ではじまり、こんなやりとりになりました。

messe

ご丁寧に催促までしてくるんですよ。

リンク先はこうなってます。(まだ存在してます。リンクは貼りませんが画像内のURIです)

turisite

まあ、ふつうにアドレスやら写真の写の字が中国だったりするので冷静に見れば怪しいですよね。ただ、投稿コメントの文章はとても自然。日付は古すぎるのでこれもおかしい。

仕組みですが、投票するにはまず携帯番号を入力。しばらくするとSMSが送られて来るので、改めて携帯番号とSMSにあった認証番号を入れろ、となっています。送られてきたSMSはこちら。

SMS

はい、ヤフオクと書いてありますね。しかも身に覚えのないID様宛になっています。ここもスルーしてしまった私は本当に馬鹿です。

つまり、写真投稿サイトを模したフィッシングサイトは、ヤフオクのアカウントを作成するための情報を集めていた訳です。

電話番号入れるとそこからヤフオクの携帯認証サイトにその番号をトス、ヤフオクはトスされた電話番号に認証コードの入ったSMSを送ってくるので、騙された人が携帯番号と認証コードをそのサイトに又入れてくれたら、無事そのセットを手に入れられるという仕組みです。それでYahoo!アカウントを作成して不正に使うつもりだったのでしょう。

だから写真投票サイトは少しでも気づかれにくいようにYahooってことになってたのね。

Yahoo!に連絡し、SMSにあったIDのアカウントの携帯認証登録を削除してもらいました。
ですが、Yahoo!のシステム上、一度携帯認証に使った番号は使用できないため、私の携帯番号は今後Yahoo!の携帯認証には使えないことになってしまいました。

引っかかってしまった理由を箇条書きすると、

  • Facebookのメッセージが、本人以外が入力したものという発想がなかった
  • 送ってきた相手がそこそこリテラシーが高いと思っており、その人から来るとは思わなかった
  • ほとんどメッセージをやり取りしたことのない先輩なので、その人の普段のトンマナがわからず判断ができなかったのと、そんな人がわざわざお願いしてきたことを重く感じてしまった
  • 先輩なので、リクエストに応えなければいけないと思っていたが、別件でしばらく放っておいたら催促までしてきたのをプレッシャーに感じてしまった
  • バタバタしていたのと疚しさで、リンク先の怪しさ、携帯番号と折り返しでSMSへの番号を入れるという妙なハードルの高さをスルーしてしまった

というところでしょうか。

最近は、個人認証に携帯電話番号と、そこに送ったSMSを紐づけて認証するという手段が一般化してますが、それを脅かす案件だと思いました。

例えば。

「LINE写真投稿」とかってサイトを作り、同様の手段で携帯電話番号を入力させれば、だまされた人がLINEアカウントを持っていなければ、その人の携帯番号に紐づけたLINEアカウントを第三者が入手できたりしませんか?SIMに書かれてる電話番号を端末が取得して、それと突き合わせてチェックできればその場合は大丈夫ですけれど。

いずれにせよ、携帯番号を入力して送られてきた認証コードというものを、変なサイトに入力しないように全力で気を付けましょうという話でした。あーはずかし。