コンピューターセキュリティに関するブログを公開しているBleeping Computerの投稿によると、FBIは米国でのスミッシングについて警戒を呼びかけています。米国のいくつかの州の人々を標的に、通行料金の未払いに関する偽の通知をSMS(ショートメッセージサービス)で送るフィッシング攻撃が拡大しているようです。
サイバー攻撃者は現在、米国東海岸のペンシルベニア・ターンパイク委員会や有料道路の電子料金徴収システムであるE-ZPassサービスなどになりすましていますが、FBIは同様の被害が他の州にも拡大する可能性が高いと警告しています。
FBIはスミッシング攻撃の現状について次のように述べています。
「2024年3月初旬から、FBIインターネット犯罪苦情センター(IC3)に、少なくとも3つの州から道路料金徴収サービスを装ったスミッシング攻撃に関する苦情が2,000件以上寄せられています。IC3に寄せられた苦情から、スミッシング攻撃の標的が州から州へと移動している可能性があることがわかります。送信されているSMSには、標的となる受信者に未払いの通行料金があるとの記載があり、ほぼ同じ文言が含まれています。請求される未払い料金額も類似しています。しかし、メッセージ本文に記載されているリンクはその州の有料道路サービス名になりすまして作成されており、電話番号は州によって異なるようです。」
メッセージ本文には、「12.51$の未払い料金があります。50$の延滞料金を回避するには、https://myturnpiketollservices[.]comにアクセスして残高を精算してください」と書かれています。
もっともらしい請求金額であるため、標的となるユーザーは送信されたSMSメッセージが本物と考えてしまいます。リンク先のフィッシングサイトは、ユーザーを騙して送金させ、ユーザーの銀行口座情報を詐取するように設計されています。
FBIは、このような攻撃に遭遇したユーザーに対して以下の推奨事項を提示しています。
- IC3に苦情を申し立てる際は、SMSの発信元の電話番号とメッセージ本文に記載されているWebサイトを必ず報告してください。
- 有料道路サービスの正規Webサイトにアクセスし、アカウントを確認してください。
- 有料道路サービスのカスタマーサービスに問い合わせ、未払い料金があるか確認してください。
- 受信したスミッシングメッセージはすべて削除してください。
- メッセージ本文のリンクをクリックしたり、個人情報を提供したりした場合は、個人情報と金融口座情報を保護してください。身に覚えのない請求は疑うようにしてください。
新しいスタイルの先進的なセキュリティ意識向上トレーニングを受講することにより、従業員は攻撃に対して不信感を抱くことができ、ソーシャルエンジニアリング攻撃の被害に遭うリスクを軽減することができます。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、BleepingComputerの記事を参照してください。
原典:Stu Sjouwerman著 2024年4月15日発信 https://blog.knowbe4.com/major-phishing-campaign-impersonates-us-toll-services