Appleが信頼できる企業や人物を装いユーザーの信頼を得て機密データを手に入れようとする「ソーシャルエンジニアリング攻撃」に対して注意するように言及しています。詳細は以下から。
Appleは2015年から、MacやiPhone、iPadの機能やiCloudなどAppleサービスを利用した詐欺に対するサポートページを公開し、偽のウィルス感染警告や偽のサポート電話詐欺 (2017年追加)、不審なFaceTime通話やFaceTime通話へのリンクが含まれたメッセージ/メール詐欺(2023年追記)など、時代とともに進化する詐欺に警告してきましたが、
Appleは現地時間2024年07月03日、詐欺対策方法をまとめたサポートサイトを更新し、新たに人間の心理や社会的習慣を利用し、ターゲットの信頼できる企業や人物を装い、ターゲットの信頼を得て機密情報を盗み取ろうとする「ソーシャルエンジニアリング攻撃 (Social Engineering Attacks)」に関しての対策を公開しています。
Social engineering attackers use impersonation and manipulation to first gain your confidence and trust. Then, they trick you into handing over sensitive data or providing them with access to your account information. They use a variety of tactics to impersonate a trusted company, entity, or someone that you know.
Recognize and avoid social engineering schemes including phishing messages, phony support calls, and other scams – Apple Support
ソーシャルエンジニアリング攻撃
Appleはソーシャルエンジニアリング攻撃に対し、攻撃者(詐欺師)はまず、ユーザーの信頼を得るために以下の様な行動を取るとして、これらの発言や演出に注意し、Appleを名乗る不審な電話やメッセージがあった場合は、Appleの公式サポートチャンネルから問い合わせるようにコメントしています。
- なりすまし電話 : 詐欺師はAppleやその他正規の企業からのように見える電話番号から電話をかけてくることがあります。これを「なりすまし (spoofing)」と呼びます。不審な場合は自分でその企業の公式な番号にかけ直すことを検討してください。
- 個人情報についての言及 : 詐欺師は信頼を得るために、あなたの自宅住所や勤務先、社会保障番号などの個人情報に言及し信頼を得ようとします。
- 緊急性の演出 : 詐欺師は誰かがあなたのiPhoneやiCloudアカウントに侵入したとか、Apple Payを利用した不正な請求がされたと、差し迫った問題を解決しなければならないという演出をします。
- 確認電話の禁止 : 詐欺師は緊急性を演出することで、あなたに考える時間を与えず、あなたがAppleに直接電話することを思いとどまらせます。
- アカウント情報の要求 : 最終的に詐欺師はあなたのアカウント情報やセキュリティコードを要求してきます。偽のAppleログインページに誘導して確認を求め、本人確認を要求します。AppleはWebサイトへのログインや2ファクタ認証ダイアログの[許可 (Accept)]のタップ要求、パスワード、デバイスのパスコード、2ファクタ認証コードの入力などの情報を求めることは決してありません。
- セキュリティ機能の無効化の要求 : 詐欺師は攻撃を防ぐためやアカウントを取り戻すためとして、2ファクタ認証やiOS 17.3で導入された盗難デバイスの保護 (Stolen Device Protection)を無効にするように求めてくることがありますが、Appleはこのような要求をすることは決してありません。
コメント