セキュリティ

偽のSpotifyメールでApple ID情報を盗み出すフィッシング詐欺の存在が明らかに

by Ana Bernardo

Spotifyの有料プランである「Premiumサービスに登録しました」という偽のメールを送り、ユーザーのApple IDを盗み出すという新手のフィッシング詐欺の存在がBusiness Insiderにより報告されています。

Fake Spotify email is a phishing scam to get your Apple ID credentials - Business Insider
https://www.businessinsider.com/fake-spotify-email-phishing-scam-apple-id-2018-10

PSA: Watch out for this new Apple ID phishing scam - 9to5Mac
https://9to5mac.com/2018/10/20/apple-id-phishing-attempt-spotify/

Business Insiderが報告する新しいAppleユーザーを狙ったフィシッシング詐欺は、ユーザーに「SpotifyのPremiumサービスを1年間分購読しました」という偽のメールを送信するというもの。メールには誤ってSpotifyの有料サービスに登録されてしまった人向けの「購読をキャンセルするためのURL」が記されています。このURLにアクセスするとApple IDのログインページが表示され、ここでログインするとApple ID情報がハッカー側に盗み出されてしまうというわけです。

以下のスクリーンショットは偽メール上のURLをクリックした際に飛ばされるページ。見た目は完全にAppleのページのようですが、URLを見るとアルファベットの羅列が見られ、フィッシング詐欺用のページであることがわかります。


このApple ID情報を盗み出すためのフィッシング詐欺が最初に報告されたのは、海外掲示板のRedditでした。アタッカーがApple ID情報を盗み出すと、そこからユーザーの個人情報、iCloud上に保存した写真、Apple端末の位置情報へアクセス可能となります。また、Apple ID情報があればユーザーに知られる前にアプリを購入したり、Apple Storeで端末を購入したりが可能です。

by OOI JIET

偽のSpotifyメールを用いたフィッシング詐欺は、Spotifyの講読方法が変更されたことがもととなっているようです。Spotifyの有料サービスであるPremiumサービスの定期購読はこれまでApple ID経由でも可能でしたが、2018年8月6日以降はそのオプションが終了しており、Spotifyは独自の支払いシステムを使用するように有料ユーザーに要求しています。そんなタイミングでSpotifyユーザーに偽メールを送信することで、「Apple IDでの支払いがまだ行われている」と勘違いさせることがアタッカーの狙いのようです。

以下が実際にユーザーに送られてくる偽メール。偽メール上の文面には文法上の間違いがあるとのこと。また、実際にApple ID経由でSpotifyの有料サービスを定期購読している場合、料金の支払いや登録確認に関するメールはApple経由で送信されるので、送信元を確認することでもメールが本物か偽物かを判断することができます。


フィッシング詐欺を報告したRedditユーザーが撮影したスクリーンショットにはメールアドレスが表示されていませんが、SpotifyやApple公式のメールアドレスに似せている可能性もあります。しかし、フィッシング詐欺に使用されるようなメールアドレスにはランダムな文字や数字が入っているケースが多いため、メールアドレスをしっかりと確認することで偽メールであることを判別することができるようになる可能性があります。

なお、Apple IDをターゲットとしたフィッシング詐欺は非常に一般的なもので、Appleはこういった詐欺被害を避けるためのヒントを提供するサポートページを用意しており、フィッシング詐欺によくある兆候7つを示しています。

フィッシングメール、ウイルス感染の偽警告、偽のサポート電話などの詐欺に遭わないようにする - Apple サポート

・送信者のメールアドレスや電話番号が、正規の会社の名前と一致しない。
・正規の会社に登録してあるメールアドレスや電話番号とは異なるメールアドレスや電話番号に連絡が来た。
・「お客様各位」など、メッセージの挨拶部分が一般的な表現になっている。正規の会社の多くは、お客様個人宛てのメッセージにはお客様本人の名前を記載します。
・一見正規のリンクに見えるが、正規の会社の Web サイトのアドレスとは異なるアドレスの Web サイトにジャンプする。
・メッセージの見た目が、正規の会社から届いたほかのメッセージと大きく異なっている。
・クレジットカードやアカウントのパスワードなどの個人情報を要求される。
・思い当たるふしのないメールにファイルが添付されている。

この記事のタイトルとURLをコピーする

・関連記事
Apple IDが盗まれ無断で決済が行われた件でAppleが謝罪、盗まれた人の共通点とは? - GIGAZINE

人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ - GIGAZINE

日本語版のGoogle Playに偽装してクレジットカード情報を盗み出すフィッシング(詐欺)サイトが登場 - GIGAZINE

「詐欺に引っかかりやすい人」に共通する特徴とは? - GIGAZINE

in モバイル,   セキュリティ, Posted by logu_ii

You can read the machine translated English article here.