BleepingComputerは、Appleデバイスのユーザーを騙して、悪性のリンクから保護する対策を無効にするSMSフィッシング(スミッシング)キャンペーンが展開されていると警告してます。
BleepingComputerは次のように述べています。「AppleのiMessageは、メールアドレスであれ電話番号であれ、不明な送信者から受信したメッセージのリンクを自動的に無効にします。
しかし、BleepingComputerは、ユーザーがそのメッセージに返信したり、送信者を連絡先リストに追加したりすると、リンクが有効になるという回答をAppleから得ています。BleepingComputerはここ数か月間で、ユーザーに返信させてリンクを再度有効にさせようとするスミッシング攻撃が急増しているのを確認しています。」
これらのメッセージは、荷物の配送更新や道路料金の未払い通知など、一般的なテキスト通知を装っています。しかし、これまでのスミッシング攻撃とは異なり、これらのメッセージにはユーザーに対して「Yに返信した後、メッセージを終了し、再度メッセージを開いてアクティベーションリンクを開くか、リンクをコピーしてSafariブラウザで開いてください」という指示が含まれています。ユーザーがこれらの指示に従って操作すると、フィッシングリンクが有効になりクリックすることが可能になります。
BleepingComputerは、次のように指摘しています。「ユーザーは予定の確認やテキストメッセージの配信停止のために、「停止」、「はい」、または「いいえ」を入力することに慣れているため、攻撃者は、このような習慣からテキストを受信したユーザーが返信し、リンクを有効になることを狙っています。
このような操作を行ってしまうと、リンクが再び有効になり、このテキストに対するiMessageに組み込まれているフィッシング防止機能が無効になります。ユーザーが有効になったリンクをクリックせずに、返信するだけでも、サイバー攻撃者はフィッシングメールに反応する標的が存在していることを認識し、より大きな攻撃の標的となる可能性があります。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、BleepingComputerの記事を参照してください。
原典:Stu Sjouwerman著 2025年1月20日発信 https://blog.knowbe4.com/phishing-campaign-attempts-to-bypass-ios-protections