巧妙な電話フィッシング詐欺の事例

セキュリティ情報ブログ Krebs On Securityで、興味深いフィッシング詐欺の手口が紹介されています。

When in Doubt: Hang Up, Look Up, & Call Back

被害に遭ったのは、自分は電話を介したフィッシングには引っ掛からないと考えていた技術者ミッチ(仮名)氏です。かなり名の知れたクラウドベースサービスのセキュリティ担当者です。

ある日、カリフォルニア州で働くミッチ氏に、自分が資産を預けている金融機関からのものと思われる電話がかかってきました。電話に出ると、ミッチ氏の口座に不審な取引が見られたとのことでした。かかってきた電話番号は、ミッチ氏のデビットカードの裏にあるものと同じでした。

しかし、ミッチ氏は詐欺グループがしばしば電話番号も偽装することを知っていました。そこで、ミッチ氏は電話を切らずに自分のアカウントにログインし、数週間にわたる不正な送金を複数件見つけました。100ドル以下のものがほとんどでしたが、2件は800ドルがフロリダ州のATM経由で引き出されていました。

もし電話が詐欺の一環であれば、相手は個人情報を聞き出すだろうと考えましたが、電話口の女性は特に個人情報を求めず、今回の不正送金の被害は金融機関側で補償する、新しいデビットカードを送る、と言うのみでした。

その翌日、不審な取引についての電話がまたもやミッチ氏にかかってきました。ミッチ氏は会話に怪しいものを感じたため、かかってきた電話を切らずに、別の電話で金融機関に電話をかけ、ミッチ氏と通話している別の担当者がいるかどうか確かめました。その返答は「確かに別の電話でミッチ氏と会話している」というものだったので、ミッチ氏は自分が話している相手が金融機関の担当者だと確信しました。

その金融機関では認証の一環として、ワンタイムコードを顧客の電話に送信し、それ口頭で顧客に読み上げさせる方法を採っていました。今回もワンタイムコードが送られ、ミッチ氏は口頭で電話の相手に伝えました。担当者は今回も、被害は補償し新しいカードを送る旨をミッチ氏に伝え、電話を切りました。

その週は特に口座に不審な動きはなく、事態は収まったものとミッチ氏は考えました。

しかし、翌週の月曜日にログインしたところ、ミッチ氏は口座から9,800ドルが引き出されていることを発見しました。この時点で先週かかってきた金融機関からの電話が、二本とも詐欺グループからのものだったと知りました。

ミッチ氏は二回目の電話を受けた際、金融機関に自ら電話をかけ、誰かが自分と会話していることを確かめました。しかし実際には、詐欺グループのメンバーがミッチ氏を名乗り、金融機関に電話をかけていたのでした。詐欺グループのメンバーが金融機関にワンタイムコードを送らせ、ミッチ氏が口頭でグループに伝えたというわけです。

ミッチ氏は、過去数週間のどこかの時点で、自分のデビットカード情報と暗証番号が、POS端末やガソリンスタンド、ATMなどに仕掛けられたスキミングデバイスによって盗まれたのだろうと考えています。詐欺グループは、カード情報とPINだけでは少額のショッピングなどは可能でも、大きな額の資金移動ができないため、電話によるフィッシングを仕掛けたようです。

さらに用意周到なことに、詐欺グループは金融機関に旅行通知を送ることでミッチ氏がフロリダ州に旅行しているように見せかけ、またミッチ氏名義の口座を作り送金することで、金融機関による不審な送金の検知を遅らせていました。

ミッチ氏は、金融機関を名乗る電話を受けたら絶対に守るべきルール「必ず一度電話を切り、カードなどに記されている電話番号にかけなおす」に従わなかったことを後悔しているとのことです。