今回報告されたのは、RSAセキュリティが2009年8月に確認した新たなタイプのフィッシング詐欺。チャットを使うことが特徴。同社では「チャット・イン・ザ・ミドル(Chat-in-the-Middle)攻撃」と呼んでいる。
同社が確認した手口は以下の通り。攻撃者はまず、米国系のある銀行をかたる偽メールをユーザーに送信し、同銀行のサイトに見せかけた偽サイトに誘導。同銀行のオンラインバンキングサービスのログインページに見せかけた偽ページに、ユーザーIDとパスワードを入力させようとする。偽ページなどは英語なので、英語圏のユーザーを狙ったものと考えられる。
ここまでは従来のフィッシング詐欺と同じ。これ以降が異なる。従来の手口では、パスワードなどを入力させた後、本物のログインページに転送するなどして、ユーザーに気付かれないようにする。
今回報告された手口では、パスワードなどを入力させた後、偽ページ上にチャット用のポップアップウインドウを表示。同銀行の詐欺対策サポート担当者などをかたって、ユーザーIDやパスワード以外の個人情報(氏名や電話番号、メールアドレス、秘密の質問とその答えなど)を、チャットで送信させようとする。
チャットに表示されるメッセージには複数のパターンがあるという。例えば、「○○銀行詐欺対策部門へようこそ。弊社が継続的にお約束している『可能な限り最善のサービス』とすべてのお客様に対する保護の一環として、みなさまにアカウントの確認をお願いしております。確認のために午前中にコンタクトいたしますので、お客様のお名前、電話番号とメールアドレスを入力してください」といった英語のメッセージが表示される。
これを信用して、チャットウインドウの下欄に個人情報を入力して「SEND」ボタンを押すと、相手に送信されて盗まれることになる。
現在までに確認されているチャット・イン・ザ・ミドル攻撃は1件だけ。しかしながら同社では、同様の手口が今後増える危険性があると警告。「普段表示されないチャット画面を信じることは危険」「銀行などのサイト運営者が、ユーザー名やパスワード、秘密の質問などを問い合わせることはない」として、注意するよう呼びかけている。
