セキュリティ

AppleやGoogleのサポートに偽装してターゲットと通話し仮想通貨やアカウント情報を盗み出すフィッシング攻撃の手口とは?


テクノロジーが進歩した近年では、フィッシング詐欺の手口が巧妙化しています。AppleやGoogleの正規サービスを悪用し、電話やメール、システムメッセージでターゲットをだますボイスフィッシング詐欺師の集団「Crypto Chameleon」の手口や活動の実態について、ワシントン・ポストの元記者であるブライアン・クレブス氏が自身のブログで解説しています。

A Day in the Life of a Prolific Voice Phishing Crew – Krebs on Security
https://krebsonsecurity.com/2025/01/a-day-in-the-life-of-a-prolific-voice-phishing-crew/


2024年2月にセキュリティ会社のLookoutによってその活動が報告されたボイスフィッシング詐欺師集団「Crypto Chameleon」は、仮想通貨の投資家ならびにアメリカ連邦通信委員会(FCC)や仮想通貨取引所のCoinbase、Binanceで働く従業員を標的として、多額の仮想通貨や仮想通貨などに関する情報を盗み出していました。

Crypto Chameleonは、Oktaやその他の認証プロバイダーによるシングルサインオンページを忠実に模倣したフィッシングキットを用いて標的をだましていました。さらにLookoutによると、Crypto Chameleonは「Perm」または「Annie」と呼ばれるサイバー犯罪グループが運営・レンタルしているフィッシングキットを用いていたとのこと。また、PermはTelegram上で活動する一大サイバー犯罪コミュニティ「Star Fraud」の管理者とみられています。

これまで、Crypto Chameleonは「Aristotle」または「Stotle」と呼ばれるサイバー犯罪者とPermが協力して活動してきましたが、何らかの要因で組織の関係に亀裂が発生。その後、StotleがPermを裏切り、Lookoutに対して活動の実態や手口を暴露しました。

Crypto Chameleonでは、各メンバーが「Caller」「Operator」「Drainer」「Owner」と呼ばれる役割を担っています。具体的な役割が以下。
・Caller:ターゲットに電話をかけ、情報を引き出す役割
・Operator:フィッシングツールを操作し、ターゲットをページからページへと誘導する役割
・Drainer:漏えいしたアカウントでサイトにログインし、ターゲットの資金や情報を盗む役割
・Owner:フィッシングツールの所有者で、詐欺の電話を傍受したり、場合に応じて参加したりする役割

各メンバーへの報酬は、1回の電話ごとに設定された料金や盗み出した資金の総額を特定のパーセンテージで分配していたとのこと。また、フィッシングツールの管理者またはレンタル業者は、盗難の成功ごとに一定のパーセンテージでの報酬を受け取っていました。クレブス氏によると、Permの場合は盗み出した金額の10%を報酬として受け取っていたそうです。


以下はStotleが公開したCrypto Chameleonによるカリフォルニア州在住のミュージシャンをターゲットとした実際の詐欺の動画です。

Voice phishers tricking a target into entering their password at a fake Apple website. - YouTube


Crypto Chameleonはまず、ターゲットのApple IDのパスワードリセットを試みます。この操作により、ターゲットのデバイスにAppleからの通知が送信されます。

続いて、Crypto ChameleonはAppleのサポート電話番号(800-275-2273)を偽装し、「Michael Keen」という偽名でターゲットに電話をかけます。

「Appleのアカウントリカバリーチームの一員」と述べるMichael Keenに対し、ターゲットは不正なパスワードリセットの試みがあったことを報告。これを受けMichael Keenは「調査を行います」と述べたうえで「あなたのデバイスにプロンプトを送信します」と説明します。

その後、Crypto Chameleonはターゲットの電話番号に偽装してAppleのサポート回線に電話をかけ、すべての関連デバイスにAppleアカウントの確認アラートを表示。


確認アラートを受け取ったターゲットは「実際に話している相手はAppleだ」と油断し、続くCrypto Chameleonによるデバイスの設定でアカウントのパスワードを変更する指示に従ってしまいます。

Apple IDのパスワードが変更されると、Crypto Chameleonは対応チケットをクローズするための次のステップとして、AppleのiCloudログインページを模倣したウェブサイトへのリンクを含むテキストメッセージをターゲットに送信します。そしてターゲットが偽のウェブサイトにApple IDのパスワードとパスコードを入力してしまうと、Crypto Chameleon側にターゲットのiCloudアカウント情報が漏えいしてしまいます。

その後、Crypto Chameleonは取得したターゲットのApple IDアカウントを利用し、情報を盗み取ります。

Stotleによると、Crypto Chameleonが用いるターゲットリストは、仮想通貨ハードウェアウォレットベンダーのTrezorから2022年・2024年に流出したユーザーアカウントデータを含む情報とのこと。Crypto Chameleonは「Autodoxers」と呼ばれるターゲットに関する個人情報を収集・検証し、仮想通貨取引所にアクティブなアカウントが存在するかどうかを確認するツールを用いてターゲットの絞り込みを行っているそうです。


実際にStotleらは、実業家のマーク・キューバン氏から数万ドル(数百万円)相当の仮想通貨を音声フィッシングでだまし取ったことを告白しており、Stotleは「私はなんてバカだったのでしょう」と述べています。

なお、Appleは「Appleの担当者がユーザーにパスワードやデバイスのパスコード、または2要素認証コードを提供したり、ウェブページに入力したりするように要求することは決してありません。Appleから送信されたと主張するメッセージや電話を受け取った場合、ただちに連絡をやめるか、電話を切ってください」と注意を促しています。

フィッシングメッセージ、偽のサポート電話、その他の詐欺を含むソーシャルエンジニアリングスキームを認識し、対処する - Apple サポート (日本)
https://support.apple.com/ja-jp/102568

この記事のタイトルとURLをコピーする

・関連記事
iMessage経由でiPhoneユーザーを標的にするフィッシング詐欺のツールを提供するサービス「Darcula」が登場 - GIGAZINE

OpenAIの広報用Xアカウントが乗っ取られて仮想通貨詐欺サイトのリンクを拡散 - GIGAZINE

なぜフィッシング詐欺師は新しく登場したドメインを使用しがちなのか? - GIGAZINE

AIによる虚偽のフィッシング詐欺通報でゲーム配信サイト「itch.io」がダウン、公式は「ゴミみたいなAI搭載ソフト」とぶち切れ - GIGAZINE

セキュリティリスクの高いGoogleアカウントを保護する「高度な保護機能プログラム」でパスキーによるサインインが可能に - GIGAZINE

・関連コンテンツ

in ソフトウェア,   動画,   セキュリティ, Posted by log1r_ut

You can read the machine translated English article here.