メールアカウントのパスワード再発行を悪用した詐欺に注意 - Symantec

シマンテックは6月17日、ユーザーを欺いてメールアカウントにアクセスする、パスワード再発行詐欺が横行しているとして、同社ブログで注意喚起を行った。

これは、モバイルユーザーを標的とする特定のスピア型フィッシング攻撃で、攻撃の目的は標的のメールアカウントにアクセスすること。ソーシャルエンジニアリングのテクニックが巧妙なため、手口に引っかかる人がすでに現れていることも確認されている。

メールサービスのプロバイダーは、パスワードを忘れてアカウントにアクセスできないユーザーのためにパスワード再発行の機能を用意しており、大抵は携帯電話の番号に確認コードを送信している。攻撃者はこの仕組みを悪用する。

シマンテックが確認したケースのほとんどは、Gmail、Hotmail、Yahooメールのユーザーに影響するもの。Gmailの場合、携帯電話番号を登録しておけば、パスワードを忘れた場合でもGoogleから携帯電話に確認コードが送信され、アカウントにアクセスできるようになり、パスワードを再設定できる。ここで犯罪者が登場する。

犯罪者が、ユーザーのメールアドレスと携帯電話番号はわかっているが、パスワードがわからない場合、アカウントを乗っ取ろうとしているユーザーのGmailのログインページにアクセスし、メールアドレスを入力して 「お困りの場合」