2万ドルのミルクティー

ほぼこもセキュリティニュース By Terilogy Worx

このお話は、無料のミルクティーを獲得できるという広告でとても高くついてしまったというお話です。
こんな流れでした。

  • ある人がタピオカ店を訪れた
  • 店のガラスドアにQRコードのついた広告があるのを確認した
  • 広告にはオンラインアンケートに答えるとアイスティーを無料で提供すると書かれていた
  • 広告を見つけた人はQRコードを自分のスマホでスキャンし、ダウンロードしたアプリで「調査」を完了した
  • 深夜に調査を実施したスマホが勝手に動作し、詐欺師がスマホの所有者の銀行口座から2万ドルを引き出した

「調査」ではなにが行われたのでしょうか。
犯罪に必要な各種の情報を入手されてしまっています。
入手された情報や準備の様子はこういったものです。

  • マルウェアをスマホにダウンロードさせる
  • マイクとカメラへのアクセス権を設定させる
  • 画面制御のためのAndroid Accessibility Service を有効に設定させる
  • モバイルバンキングアプリの使用を待ち、ユーザ名やパスワードの情報を盗み取る
  • カメラを使ってスマホ所有者の活動パターンを確認する
  • スマホ所有者が寝ているタイミングなどを選び、スマホを遠隔操作して銀行口座を操作し送金を行う

実に巧妙です。
いろいろなお店でQRコードは見ますし、アンケートに答えたらなにかいいことがあるというものもよく見かけます。
こういうものはなかなか撤去されないものです。
もっともらしく見えるものを通りすがりの人が剝がすことはないでしょう。
店舗のスタッフにしてみても、自分ではない正規のスタッフが会社の指示で張り付けたものである場合などもあるでしょうから、自分が知らないQRコードのラベルが張られていることに疑問を感じないことも多いでしょう。
似たような例として以前パーキングメーターに貼られたQRコードを使った詐欺の話もありましたね。

いろいろなところに便利なものがあふれています。
そしてそれらを使うのはとても楽しいものです。
しかし、いま自分が使用しようとしているものが本当に意図したものなのか、常に疑う気持ちが必要なのかもしれません。

参考記事(外部リンク):Woman who scanned QR code with malware lost $20k to bubble
tea survey scam while she was sleeping

www.straitstimes.com/singapore/woman-who-scanned-qr-code-with-malware-lost-20k-to-bubble-tea-survey-scam-while-she-was-sleeping