Iphone

フィッシング詐欺!スマホの失敗から学んだ教訓

フィッシング詐欺!スマホの失敗から学んだ教訓

テクノロジー詐欺に関しては、アントニオ・バンデラスの長靴をはいた猫の不朽の名言にあるように、私は自分自身を恥じています。

おそらく時間の問題だった。「Windowsテクニカルサポート」を名乗る電話詐欺師をうまくかわして引き分けに持ち込んだのではないだろうか? くそ、うまくやった。しかし、長い一週間の終わり、T-Mobileの新品のスマートフォンが鳴った途端、その安心感は徐々に傲慢さへと変わっていった。

Stomchak (自身の作品) [CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0) または GFDL (http://www.gnu.org/copyleft/fdl.html)]、ウィキメディア・コモンズ経由
(写真:Stomchak、ウィキメディア・コモンズ経由)

「こんにちは」と、私の記憶を言い換えた陽気な女性の電話ロボットが話し始めた。「T-Mobileアカウントの顧客満足度アンケートにご協力いただきたくお電話いたしました。アンケートにご協力いただくと、モバイルアクセサリーまたはサービスの割引をさせていただきます。」

自動音声には分からなかったが、私は他社から乗り換えて以来、T-Mobileのサービスにとても満足していた。もちろんアンケートには答える。6問ほどの質問に答え、通信エリア、カスタマーサービス、請求書の明瞭さ、そして価格に見合う価値を4桁の尺度で評価した。

最後に、T-Mobileのカスタマーサービスに電話するといつもそうするように、名前を録音するように言われました。次に請求先住所を録音し、郵便番号を入力し、最後にアカウント確認のために社会保障番号の下4桁を入力するように言われました。

そうです。これはまさに、別荘の階下で聞こえる夜間の騒音に構うなとバカな大学生に叫ぶ映画のような感じです。でも、彼らには聞こえないんです。

「ありがとうございます。割引の詳細については担当者からご連絡いたします」とボーグ女王は言った。カチッ。

ああ、胃の底から小脳にメッセージが届いた。

奇妙なことに、「後ほど連絡します」と言われただけで、すぐに具体的な割引情報がもらえなかったことに、私は疑念を抱きました。ソーシャルメディアはすでに届いているだろうと思っていたので、このリクエストは、私がT-Mobileアカウントの所有者であり、その携帯電話を使っている無作為の人物ではないことを確認するためのものだったのでしょう。

彼らではない、彼らのせいではない、本当に
彼らではない、彼らのせいではない、本当に

発信者番号をもう一度確認すると、T-Mobileの有効なカスタマーサービス番号でした。T-Mobileのカスタマーサービスに電話すると、先ほどと同じ女性の自動応答音声で、名前を録音するように言われました。カスタマーサービス担当者にアンケートの電話について尋ねたところ、「お客様、社会保障番号は既に把握しているため、アンケートであってもお伺いすることはありません」と言われました。

そして今、発信者番号を偽装し、電話ロボットを模倣する、非常に巧妙なフィッシング詐欺師も現れました。

彼らは私のソーシャル メディアを使って簡単に私のアカウントにアクセスし、変更を加えることができ、おそらく新しい SIM カードを割り当て、高額な国際電話料金を何度も請求し、翌月の請求書ではるかに高額になる素敵な Google Nexus 5 の塊を私に残すことになります。

そして彼ら、あるいは誰かが、試みを止めなかった。2日後、携帯電話から「セキュリティ上の理由により、T-Mobileアカウントはロックされました。こちらの[URL]にアクセスしてデータを確認してください」というメッセージが届いた。

確かに、フィッシング詐欺を報告した後、詐欺防止策としてT-Mobileのウェブサイトへのアクセスがロックされました。しかし、今回の場合は、その兆候は明らかでした。リトアニアの.ltで終わるウェブアドレスです。私はクリックしませんでした。

不思議なことに、T-Mobileで話を聞いた人の中で、カスタマーサービス担当者からリスク評価(詐欺)担当者まで、誰もT-Mobileの顧客を狙ったこの自動アンケートの手口について聞いたことがありませんでした。しかし、これはどこでも見られる新しいフィッシング詐欺というわけではありません。リスク評価担当者は、この自動アンケートの手法がケーブルテレビや電力会社のフィッシング詐欺に使われていることを個人的な経験から知っていたと述べ、「最近の彼らの手口の徹底ぶりには驚かされます」と付け加えました。

そして、テクノロジーによってあらゆるものがより安価で簡単になるにつれ(自動電話調査も含め、SurveyMonkey はそれを提供しています)、フィッシング詐欺師にとってもすべてがより安価で簡単になるのは明らかです。

Kungfuman 著 (私 (Kungfuman) が撮影) [GFDL (http://www.gnu.org/copyleft/fdl.html) または CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)]、ウィキメディア コモンズ経由
フィッシング詐欺師? (写真提供: Kungfuman [CC-BY-SA-3.0]、ウィキメディア・コモンズ経由)

T-Mobile の広報担当者に問い合わせたところ、最初に返ってきたのは常識的で、比較的一般的な個人情報の安全性に関するヒントでした (Windows テクニカル サポート詐欺のときに Microsoft と初めてやり取りしたときと似ています。結局のところ、どの企業も「詐欺師の方が私たちの方が好きですよ!」と世間に大声で叫びたいとは思っていません)。

追及してみると、セキュリティ対策がどれほど優れていても、せいぜいモグラ叩きのような難題に過ぎないことが明らかになった。「『フィッシャー』は、自動化やなりすましなど、あらゆる面でますます巧妙化しています。だからこそ、私たちはこれまで以上に警戒を強める必要があるのです」と言われた。「残念ながら、他の企業と同様に、私たちもこれまで様々な形で同様の事例を経験してきました」

つまり、典型的な「ソーシャルエンジニアリング」フィッシングの被害者になったのです。しかも、恐怖や貪欲(この2つは典型的な動機です)からではなく、T-Mobileへのオタク的な利他主義からでした。恥ずかしさのあまり、です。

私のアカウントはウェブパスワードだけでなく口頭パスワードでも保護されているとはいえ、もう一つの機密個人情報が外部に漏れている。それが使われることは決してないかもしれない。あるいは、休眠中のウイルスのように、静かに潜み、まだ予見できない形で私の将来の経済生活に影響を及ぼすかもしれない。

驚くべきは、安全の代償だ。自由についてよく言われるように、それは永遠の警戒である。しかしこの場合、それはたとえ一瞬でも、極めて愚かなことをしないための警戒なのだ。