Bitdefenderのリサーチャーは、WhatsAppアカウントを標的にしたソーシャルエンジニアリング攻撃が増加していると警告しています。攻撃者は自動音声を使い、通話でユーザーに特定の電話番号をWhatsAppの連絡先に追加するよう指示します。
これらのキャンペーンは、将来的な攻撃のための情報収集を目的としています。ほとんどの方は、見知らぬ電話番号からの通話は無視します。ただ、通話に応じてしまい、攻撃者の指示通りに連絡先を追加した方は、次のソーシャルエンジニアリング攻撃の標的とされる可能性が高くなります。
Bitdefenderは次のように説明しています。「この攻撃の手口は非常にシンプルです。メールやメッセージではなく、電話をすることで緊急性を高めています。また、WhatsAppは多くの人にとって信頼できるアプリであるため、ユーザーの警戒心が下がります。連絡先に番号を追加するという行為も一見無害に思えます。しかし、犯罪者がこうした攻撃に時間とお金をかけ続けているという事実は、それが効果的であることを示しています」
「前提として、この攻撃は多数の被害者を出すことを目的としていません。攻撃者はまず、番号を連絡先に追加するような”騙されやすい”人を見つけ、今後の攻撃でさらに騙すことで、金銭や情報を引き出すことが狙いです。」
この最初の手口に引っかかったユーザーに対して、攻撃者はさまざまな二次攻撃を仕掛けます。特に大きな被害をもたらすと予想されるのは、攻撃者がユーザーのWhatsAppアカウントの乗っ取りに成功したケースです。この場合、攻撃者は侵害したアカウントを利用して、被害者の知人にも攻撃を展開できるようになります。
Bitdefenderは次のようにも警告しています。「攻撃者がWhatsAppを利用する理由は、利用者が多く、かつ信頼されているサービスであることです。攻撃者は連絡先を追加させたあと、WhatsAppのサポートや信頼できる団体を装ってメッセージを送り、認証コードを騙し取ろうとします。これは非常によくある手口です。認証コードを渡してしまうと、アカウントを奪われ、被害者はログインできなくなってしまいます。」
「一度アカウントが乗っ取られると、攻撃者はそのアカウントを使って、被害者の連絡先に金銭や個人情報を要求し、場合によってはアカウントの返却と引き換えに身代金を求めることもあります。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Bitdefenderの記事を参照してください。
原典:KnowBe4 Team著 2025年7月26日発信 https://blog.knowbe4.com/warning-scammers-are-targeting-whatsapp-users