十数年前から特に被害の報告されているWebサポート詐欺について、なぜ未だに無くならないのか? 気になって調べてみたらいろいろな技術が総動員されていたので2023年の最新情報をまとめておきます。
偽のセキュリティ警告というだけあって、本当のセキュリティツールでブロックされてしまわないように複数のドメインを使って多段仕掛けにしてセキュリティチェックツールの検出を避けています。
・サポート詐欺のWebページが表示されるきっかけ
-廃止されたドメインの再取得して偽アラートコンテンツを表示するWebサイトへ転送している
ドメインの廃止に伴いWebサイトのリンク先が無くなった後、サポート詐欺犯によってドメインが再取得される。人間がアクセスした場合には偽アラート(悪質なコンテンツ)をアップロードして置いたサイトへ転送し、騙される人(獲物)が電話をかけてくることを狙う。
-検索広告やバナー広告から転送用のランディングページを遷移させて偽アラートコンテンツを置いたWebページへ誘導
広告バナーは特に具体的な商品やサービスを販売していない。PCやWindows、Officeのサポートと関連した内容ではない。
・サポート詐欺はトップレベルドメインだけでは判断できない
-従来は .top、.xyz、.bidなど取得しやすいドメインが利用されていたが、不審なドメインに対する注意喚起が知れ渡ってきたため、 .com、.net などの主要なトップレベルドメインを使うことがある。
-正規のドメインかどうか確認するだけでは不十分。
サポート詐欺の偽警告がおかれているWebサイトはMicrosoft Azure (ドメイン:blob.core.windows.net)が増加している。
-サポート詐欺サイトの表示のきっかけを隠蔽するため複数のドメインを遷移するようにしている場合があり、一般の利用者が事前に気付くことは難しい。知っているWebサイトのリンクで以前は正常に機能していたとしても、再取得されてサポート詐欺に悪用されることがある。広告バナー、ポップアップなどではクリック(タッチ)領域を画面全体にするなどして、意図せずサポート詐欺サイトを表示してしまうように仕向けられている。
・広告審査をすり抜ける工夫
-AIを使った広告審査で見つからないように、機械による自動アクセスではサポート詐欺サイトに遷移させないようにしている。
-バナーのイメージ画像や文言は何種類も作成して、少しずつ使いまわしして一絡げに停止されないようにしている。
人間なら3歳児くらいでも同一と判断できるような内容なので、人間が審査すれば瞬時に見抜ける。バナーの種類が多く、初見だったり記憶力が低下した高齢者は引っ掛かる。
-新規取得のドメインを避けて、前の持ち主が手放した被リンク数の多い知られたドメインを再取得している。
-WebページのHTMLは、JavaScriptを利用してBASE64エンコードされて隠蔽されている場合がある。
文字列を検査する悪質サイトのチェックをすり抜けるように記述されている。JavaScriptは文字列をBASE64で記述してあってもデコードして実行できる。ブラウザでアクセスするとサポート詐欺の偽アラートの配置されたWebサイトへアクセスしてしまう。
・偽アラート出力サイトの量産
-取得したドメインに同一Webコンテンツを設置するだけで稼働可能な仕組みを採用していることがある。
※同一犯かテンプレキット化されている模様。
-高度なマルウェアなどは用いていない。一般的なリモートアクセスツールなどをインストールさせることはある。
・主なターゲットである高齢者が興味を持ちそうな広告バナー
-サポート詐欺に引っ掛かりやすいITスキルの低い高齢層を狙って、判断力が低下している人、不安を感じやすい人が気にする内容が選定されている。食品の安全性、食品の値上げ、年金など、時事的な内容でニュースサイトや一般サイトに紛れ込むようにしている。
・信じ込ませて電子マネーを送らせる、PCを乗っ取る
偽アラートの表示に不安になった人に指定の電話番号にかけせて、操作を指示して偽のサポートツールをインストールさせる。サポートと称してPCのセキュリティ設定を変更したり、詐欺犯が乗っ取る。犯人にPCの操作権限をゆだねてしまうと何度も支払いさせるようにPCに細工される恐れがあるので危険。電子マネーを購入させて支払いさせる安直な手口だけでなく、オンラインバンキングなど電子取引をされて金銭的な被害が大きくなることがある。
・インターネット普及期を思い出そう
今も昔もインターネットの情報は正しいとは限らない。
ネットサーフィンといって荒海へ何か面白いことはないか探して回って、騙されそうになったりした経験はありませんか? もし、PC経験があるなら1995年ころから2000年ころにかけてインターネットが普及した当時は、ブラウザクラッシャーと呼ばれる多重にウインドウを開き続けてPCを使えなくしたり、リンク先に心臓の悪い気持ちの悪い画像を置いておいたり、突然大音量で音楽を流したりするといったいたずらが流行っていました。 主に不特定多数の人が読み書きしている掲示板で行われていました。当時のことを思い出してください。インターネットの情報は真偽定かでない情報があふれていてそれは今も変わりません。表示が正しいとは限りません。複数の情報源で調べて判断しましょう。
・利用者側の対策(手元にメモしておくといいです)
-偽アラートはいたずらの「ドッキリ」みたいなものなので防げない。
-偽アラート音で驚かないように音量の調節方法を知っておく。
-Webブラウザの閉じ方を知っておく。
Windowsであれば[Alt]+[F4] アクティブな項目を閉じる、またはアクティブなアプリを終了することができるので目前のブラウザを閉じることができます。
-PCの電源シャットダウンの方法を知っておく。
-手軽に相談できる信用できる身近な人に頼れるように連絡先を用意しておく。
-Webに特商法の記載があるか、実在するかを確認する
-サポート詐欺の電話番号でないか調べる
-どうしても心配な場合にはサポート料金を払うのに値する信頼できるサポート事業者と契約する
・広告配信事業者の対策(Google Adsense)
-詐欺に使用されたコンテンツを機械学習して類似広告の出稿を監視する
-各国の捜査機関と犯罪者の情報と詐欺に使われる広告やWebサイトの情報を共有する
・Webサイトのホスティング事業者
-犯罪に利用する不正なコンテンツを掲載した利用者との契約を破棄し、利用できないように排除する
-第三者に企業ドメインや製品・サービスドメインでのWebページの公開を開放しない。(特にMicrosoft WindowsやOffice)
・政府・自治体
-サポート詐欺の注意喚起に加えて、逮捕、撲滅のための活動を強化する
-法整備(IP電話の本人確認、法人の実在確認、特定商取引法に基づく表記のないサイトの対策)
まとめ:サポート詐欺は多段式で情報弱者を狙う
1.広告内容の薄いバナー、ドメイン再利用でターゲットを引き寄せる
2.遷移用サイトのWebページは徹底して隠蔽
3.偽アラート出力サイトのWebページは徹底したローテク化して検出回避
4.足がつかずに換金できるように電子マネー、ECサイトのギフトを買わせる
5.偽サポートツールでオンラインバンキングなどのより多額の現金を狙う
参考情報
・そのセキュリティ警告画面・警告音は偽物です!「サポート詐欺」にご注意!! [独立行政法人国民生活センター] (2022年2月24日)
-電話をかけない!電子マネーやクレジットカードで料金を支払わない!-
https://www.kokusen.go.jp/news/data/n-20220224_2.html
https://www.kokusen.go.jp/pdf/n-20220224_2.pdf
・「Microsoft」のロゴを用いて信用させ、パソコンのセキュリティ対策のサポート料などと称して多額の金銭を支払わせる事業者に関する注意喚起 [消費者庁] (2021年2月19日)
https://www.caa.go.jp/notice/assets/consumer_policy_cms103_210219_1.pdf
・不安をあおって電話でだます「サポート詐欺」の手口を追う [トレンドマイクロ] (2016年10月31日)
旧URL https://blog.trendmicro.co.jp/archives/13970