The independent

The Independentに6月11日(現地時間)に掲載された記事「Hackers are using this nasty text message trick to break into people's accounts|Tech|Lifestyle|The Independent」が、みなテキストメッセージを使った二段階認証をくぐり抜けるトリックに注意するように呼びかけた。ハッキングを受けた可能性があるという偽のメッセージに対して返答を送ると、二段階認証に必要になる情報を窃取されることになるため注意が必要だ。

LinkedInやMySpaceをはじめ、この数週間の間に大規模サービスのアカウント情報が大量に流出している。こうしたアカウントデータの流出に対しては二段階認証が有効な防御メカニズムとして機能するが、攻撃者は二段階認証を突破する巧みなテキストメッセージによる詐欺行為を行っていると説明がある。

このテキストメッセージはGoogleやFacebook、Appleから送られてきたメッセージのように装いながら、ユーザーのアカウントがハックされた危険性があると通知してくる。アカウントを一時的にロックしたければ、このメッセージにデジットコードを付けて返信するようにと促してくる。この通りの動作を取ってしまうと、攻撃者にログインに必要になる情報を渡してしまうことになると説明がある。

この攻撃を実施するにはまずユーザーのアカウント情報を持っている必要があるが、それらはこの数週間の間に流出したデータを利用したり、これまでに流出したアカウントデータを使ったりすることで実施できるとしている。今後、こうした二段階認証の利用を促す形での不正行為が増加する可能性があり注意が必要。