IPAの今月の呼びかけ(4月) - 新たなワンクリック請求の手口に注意を

シャッター音ではなく、自動的に電話を発信させるという手口である。その流れであるが、図3のようになる。

ユーザーのスマートフォンに請求画面が表示、つまり、攻撃者のWebサイトを閲覧すると(図3 (1))、登録に関連する情報が記載されたポップアップメッセージがまず表示される(図3 (2))。ここで、［OK］をタップしてしまうと、電話発信を確認するポップアップが表示される(図3 (3))。ここでよく確認をしないと、実際に電話発信を行ってしまう。

ポップアップメッセージ(図3 (2))の電話番号をよくみてほしい。先頭に「186」が追加されている。これは、ユーザーが電話番号を非通知に設定していても、通知先に電話番号が通知されてしまう設定である。つまり、IPアドレスなどと違い、本当の個人情報が攻撃者に渡ってしまうので、より注意が必要となる。

IPAは、この手口について、より悪質になったと指摘する。その理由であるが、電話の発信を図3 (3)でキャンセルしても、再度、登録完了画面に戻り、自動的にポップアップメッセージが表示され、(1)から(3)がループ状態となる。つまり、発信以外の選択ができないようになっている。