AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている
多くのネットサービスでは、アカウントに新たなデバイスからログインがあったり通常とは違う操作が行われたりした際に安全にアカウントを保つためのセキュリティ機能として、ワンタイムパスワードをスマートフォンなどに送信して本人確認する2段階認証が実装されています。「2段階認証を設定してあるから自分のアカウントは安全だ」と思っている人も多いかもしれませんが、オンラインの地下マーケットでは「2段階認証を突破するためのボット」が拡大していると海外メディアのMotherboardが報じています。
The Booming Underground Market for Bots That Steal Your 2FA Codes
https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon-bank-apple-venmo
iPhone users warned answering call can hack your bank – how to spot it
https://www.thesun.co.uk/tech/16620850/phone-call-scam-automated-message/
新たにハッカーらの間で広まっている2段階認証突破用のボットは、「決済サービスや銀行の自動音声サービスになりすましてターゲットに電話をかけ、巧みに誘導してワンタイムパスワードを聞き出す」というもの。Motherboardは、地下マーケットでボットを販売する「カネキ」という人物に接触し、ボットがかける電話のデモを入手しました。
以下の埋め込み音声を再生すると、ターゲットからワンタイムパスワードを聞き出す自動音声を聞くことができます。
ボットは「PayPalの不正防止システム」を名乗り、ターゲットのアカウントに「58.25ドル(約6600円)の支払い請求がありました」と伝えて、この請求をブロックしたい場合は本人確認のためにデバイスへ送信したコードを入力するように要求してきます。その言葉通りに、ターゲットのスマートフォンへPayPalから送られたワンタイムパスワードを入力すると、「ありがとうございます。アカウントは保護され、このリクエストはブロックされました」と自動音声が返答します。その後、自動音声は今後しばらく身に覚えのない請求があっても24~48時間以内に返金されるから心配いらないと言い、一連の件についての「参照ID」を伝えて会話を終了しました。
いかにも「アカウントが不正利用されかけたものの、2段階認証のおかげで助かった」というシチュエーションに見えますが、一連の流れは全てターゲットのデバイスに送信された「本物のワンタイムパスワード」を聞き出し、ハッカーが2段階認証を突破するための作戦です。
まず、ハッカーはターゲットのユーザー名とメールアドレス、パスワードなどを入手する必要があります。これらの情報は、ブラックマーケットで企業から流出したデータを販売するブローカーから購入するか、スパム業者などを通じて入手することができるとのこと。
しかし、ターゲットが2段階認証を設定している場合はアカウントのパスワードだけでなく、デバイスなどに送信されるワンタイムパスワードの入力を要求されます。音声ボットを購入したハッカーがTelegramやDiscordでターゲットの電話番号とプラットフォーム名を入力すると、ボットはプログラムを使って顧客に自動通話をかけるサービスを利用してバックグラウンドで電話をかけ、「ワンタイムパスワードを送るので、その通りに入力するように」と要求します。
ハッカーはタイミングを合わせてプラットフォームへのログインや購入を試みて、ワンタイムパスワードをターゲットのデバイスに送信させます。プラットフォームから送信されるワンタイムパスワード自体は本物であるため、ターゲットは高い割合で疑いを持つことなく、自動音声の言う通りにワンタイムパスワードを入力します。こうして、ボットが入手した本物のワンタイムパスワードがハッカーに伝えられ、2段階認証が突破されてしまうという仕組みです。
音声ボットの宣伝を行うOTPGOD777という人物はMotherboardに対し、「このボットはソーシャルエンジニアリングの知識を持たない人に最適です」とコメント。1カ月あたり数百ドル(数万円)で購入できるこのボットを使えば、そこまで高いスキルがなくても簡単に2段階認証を突破できるため、ハッカーの参入障壁が大幅に下がります。購入者はボットの音声を自分でカスタマイズ可能であり、PayPalに限らずApple PayやAmazon、Coinbase、さまざまな銀行などをターゲットにできるとのこと。
カネキはMotherboardに対し、ボットは自動通話をかけるのにTwilioや類似したサービスを利用していると話しました。MotherboardがTwilioに問い合わせたところ、コーポレートコミュニケーション部門のディレクターを務めるCris Paden氏は、「Twilioはワンタイムパスワードボット(OTPボット)を取り締まっています」と述べ、ボットを監視するチームも配置しているとコメント。「ボットに気付いたら直ちに調査し、必要に応じて使用されている番号とアカウントをシャットダウンするなどの措置を講じています」と述べました。
サイバーセキュリティ企業のSocialProof SecurityでCEOを務めるRachel Tobac氏は、「サイバー犯罪者は常に人々をだます新しい方法を試みており、このワンタイムパスワード/2段階認証コード詐取ボットは、詐欺師が創造性を発揮するもう1つの事例です」とコメントし、サイバーセキュリティ企業・Cygentaの共同創業者であるJessica Barker氏は、「私たちは自動化されたシステムが私たちとコミュニケーションすることになれてしまったので、この方法はより説得力があります。恐怖心をあおって操作する古典的な手法に加えて、参照コードや不正な支払いが行われても心配しなくてもいいと伝えるちょっとした工夫を加えることで、さらに説得力を増しています」と述べています。
2段階認証突破用の音声ボットは2021年2月にも報告されていましたが、その後も次第に数を増しているとのこと。カネキはMotherboardに対し、「(音声ボットは)10カ月前はそれほど市場に多くなく、あったとしてもかなり高価でした。最近になって人気が高まっています」とコメントしました。
人気の高い音声ボットのひとつであるSMSrangerが自社製品に関するアップデートと発表を行うTelegramチャンネルには約5000人ものユーザーが含まれており、コミュニティメンバーがやり取りするサブチャンネルにも2800人を超える購読者がいるとMotherboardは述べています。SMSrangerの正規価格は1カ月のアクセス権が600ドル(約6万8500円)、無期限アクセス権が4000ドル(約45万7000円)となっており、時には割引サービスを実施することもあるとのことです。
・関連記事
「ハッカーがFacebookの2段階認証を突破した」という事例が報告される、被害者の支払い情報で広告掲載も - GIGAZINE
ハッカーがたったの月額1700円で他人のSMSを乗っ取りWhatsAppなどのアカウントを侵害した方法とは? - GIGAZINE
Googleアカウントの2段階認証を無効化するときに2段階認証を突破する必要がないという指摘 - GIGAZINE
Googleの物理キー「Titan セキュリティ キー」がサイドチャネル攻撃により突破される - GIGAZINE
Googleの安全な2段階認証を構築し不正アクセスを防ぐ物理キー「Titan セキュリティ キー」使用レビュー - GIGAZINE
Googleの安全な2段階認証を構築し不正アクセスを防ぐ物理キー「Titan セキュリティ キー」が日本で登場 - GIGAZINE
・関連コンテンツ