トレンドマイクロの報告によると、「Apple Watch」や「Apple」の人気に便乗した詐欺サイトが多数確認されているとのことです。
最近になって多数確認されたという“Apple Watch 無料プレゼント”を騙るパターンでは、TwitterなどのSNSからリンクで詐欺サイトに誘導し、そこの応募フォームに入力した名前や住所・メアドなどの個人情報を抜き取るという古典的な手口。
海外のサイトが主ですが、SNSから誘導されたのか、日本からのユーザーが全体の3割を占めていたということです。
また、Apple IDを抜き取るフィッシング詐欺サイトもあり、一般ユーザーの他に、アプリ開発者向けに「iTunes Connect」を偽装した偽サイトも確認されています。このログインフォームに入力すると、Apple IDとパスワードが抜き取られる仕組み。アプリ開発者を狙う手口は、Webからアプリをインストールできる「プロビジョニングファイル」を悪用するためとみられています。
対策方法としては、まずURLが違うことと、正規の「iTunes Connect」は「EV SSL証明書」を採用しており、ブラウザ上ではURLが緑色で表示されるので判別可能。また、検索サイトからではなく、ブックマークから飛ぶようにすることで、偽サイトやフィッシング詐欺サイトに誘導されることを防ぐことができます。
- Source トレンドマイクロ セキュリティブログ
