カスペルスキーは、ヨーロッパ諸国で広まっている新たな詐欺がブラジルでも発生する可能性があると警告しました。「スクリーンミラーリング詐欺」と呼ばれるこの攻撃は、ビデオ通話中に被害者を騙してスマートフォンの画面を共有させ、認証コード、パスワード、その他の機密情報を盗み出すものです。この詐欺の詳細と、身を守る方法については、以下をご覧ください。
この新しい詐欺はまだブラジルでは確認されていませんが、ブラジルの犯罪者は他の地域で有効な詐欺をすぐに取り入れる傾向があり、WhatsAppはブラジルで非常に人気があるため、今後ブラジルでも発生する可能性があります。 「この手口はポルトガルなどのヨーロッパ諸国で既に確認されており、ソーシャルエンジニアリングの手法は容易に再現できるため、ブラジルのユーザーがこの種の詐欺行為を認識し、見分ける方法を知ることが重要です」と、カスペルスキーのラテンアメリカ地域グローバル調査分析チームのディレクター、ファビオ・アッソリーニ氏は説明します
詐欺は通常、銀行の担当者、サービスプロバイダー、あるいは既知の連絡先を装った人物からの電話から始まります。これはソーシャルエンジニアリングの典型的な例です。通話中、犯罪者は緊急感を演出し、テクニカルサポートを装って被害者に画面を共有し、疑わしい問題を「確認」または「修正」するよう求めます。
 |
ビデオ通話中の画面共有オプションの例。
同意すると、被害者は携帯電話に表示されている認証コード、パスワード、金融アプリからの通知などの機密データを公開します。犯罪者は画面表示を悪用し、別のデバイスでWhatsAppを起動しようとします。被害者の電話番号を登録すると、WhatsAppはワンタイムパスコード(OTP)を携帯電話に送信します。詐欺師はこのコードを通知で確認し、アカウントを乗っ取ります。これにより、詐欺師は被害者の名前でメッセージを送信し、連絡先に金銭を要求し、詐欺の範囲を拡大します。
犯罪者は多くの場合、迅速に行動します。情報を入手した後、問題が検出される前に、送金を完了したり、パスワードを変更したり、被害者が自分のアカウントにアクセスできないようにしたりします。
WhatsAppの画面共有機能は新しい機能ではないにもかかわらず(2023年8月にリリースされた)、ほとんど知られておらず、利用もされていません。実際、この機能を悪用したソーシャルエンジニアリング攻撃が確認されたのは今回が初めてです。技術的なサポートが必要な状況では便利ですが、見知らぬ人と共有した場合、悪意のある攻撃につながる可能性があります。デバイスのリモート操作や制御は許可されていませんが、この機能は詐欺師がパスワード、ユーザー名、その他の重要なデータを閲覧するのに既に十分であり、ソーシャルエンジニアリングと組み合わせることで、被害者を詐欺師の行動に誘導する可能性があります」とは説明します。
Metaは最近、WhatsAppとMessengerのユーザーを潜在的な詐欺から保護するための新しいツールを発表しました。新機能の一つとして、WhatsAppではビデオ通話中に知らない相手と画面を共有しようとした際に警告が表示されるようになり、銀行口座情報や認証コードなどの機密情報の漏洩を防ぐことができます。
この詐欺から身を守るために、カスペルスキーは次のことを推奨しています。
- WhatsAppで「不明な番号からの着信を無音にする」を有効にするには、「設定」>「プライバシー」>「通話」に移動し、オプションを有効にします。不明な番号からの着信は無音になり、履歴に記録されますが、着信音は鳴りません。
- ビデオ通話中でも、携帯電話の画面を知らない人と共有しないでください。
- 予期しない電話には注意してください。正規の銀行や企業は、コードや画面共有を要求することはありません。
- 確認コード (OTP)、PIN、またはパスワードを第三者と共有しないでください。
- 古いスマートフォンやセキュリティアップデートが行われていないスマートフォンなど、脆弱なデバイスでは金融アプリの使用を避けてください。
- すべての金融アプリとメッセージング アプリで 2 要素認証 (2FA) を有効にします。
- Kaspersky Who Callsなどのセキュリティ ツールを使用して、疑わしい番号からの通話を識別してブロックします。
