FedExの本物の決済SMSがフィッシングに見えた理由
(troyhunt.com)- 実際のFedEx関税・税金支払いSMSがフィッシングメッセージとほぼ同じシグナルを示し、4,000人以上が参加したアンケートで 87%が怪しい と判断した
- メッセージには短いshipment number、緊急の支払い要求、不自然な大文字・小文字、通貨表示の欠落、FedExではない
bpoint.com.auの支払い先URLが含まれていた - FedExの配送追跡画面ではdutyやtax情報を確認しにくく、BPOINTリンクはURLパラメータを変えるだけでtracking number、customer name、amountが変わった
- カスタマーサポートの導線や電話案内も混乱していたが、3日後に届いたメールの添付ファイルでPrusaの請求書と注文・価格・配送情報が確認され、SMSが実際の請求と一致していることが分かった
- スキャムSMSのブロックのような 技術的統制 だけでは不十分で、正当な企業メッセージがフィッシングの典型的特徴に似ると、ユーザーの判断基準が崩れてしまう
本物の配送通知がフィッシングに見えた状況
- 最近は「荷物を配達できない」というタイプの SMSフィッシング が多く届いており、通信事業者のフィルターをすり抜けて受信トレイにまで入ってきていた
- フィッシングかどうかを見るときは、緊急性、見逃すかもしれないという不安、配送業者と一致しない不審なURLといったシグナルを確認することになる
- 実際にFedExの配送を待っていたところ、dutyとtaxesを支払うよう求めるSMSが届き、見た目だけでは本物の請求なのかフィッシングなのか判断しにくかった
- Xのアンケートには4,000人以上が回答し、87%が「dodgy AF」 と判断した
SMSに含まれていた不審なシグナル
- メッセージには、FedExが通常
FedExのようにEを大文字で書くのとは違う不自然な表記や、-Expのような文字列が含まれていた - shipment numberが短すぎるように見え、下の支払い依頼に記載された番号と同じだった
urgentという表現は、十分に考えず行動させる ソーシャルエンジニアリング のシグナルとして機能するDutyとTaxesの大文字・小文字が不自然で、グローバル配送業者のメッセージなのに通貨やドル記号がなかった- 支払いリンクはFedExドメインでもオーストラリア政府ドメインでもなく、
bpoint.com.auだった - 問い合わせ先をSMS内で案内するやり方は、NABがテキストメッセージからリンクを削除する流れとは逆行していた
自力で検証するのも難しかった手順
- 疑わしい支払い依頼は、メッセージ内のリンクを押さず、当該サイトに直接アクセスして確認するのが基本的な助言である
- Prusaの購入確認メールで配送情報を探し、FedExのWebサイトに移動したが、配送追跡ページではdutyやtaxに関する項目を見つけられなかった
- SMSのリンクをたどると、tracking number、customer name、amountを URLパラメータの変更だけで任意に改変 できた
- ブラウザDOMの改変や通信の傍受なしに、query stringパラメータを変えるだけで可能だった
- この挙動はフィッシングサイトのように見えたが、BPOINTはCommonwealth Bankが提供する決済ゲートウェイだった
- 翌日、同じ送信者から別のSMSが届いた
- 今回はshipping numberがメッセージに含まれ、dutyとtaxesの大文字・小文字は正常になっていた
PAY NOWが大文字で表示されていた一方、「リンク」はscheme、domain、pathがなく、query stringパラメータだけだったため、クリックして支払うことはできなかった- query stringパラメータ名もすべて大文字に変わっており、別の生成手順があるか、手順が壊れているように見えた
カスタマーサポートと最終確認
- 1800番号を検索すると、Reverse Australiaの該当番号ページが上位結果に出てきて、コメントや検索結果全体からメッセージの正当性をめぐる混乱が見て取れた
- SMS内の番号ではなく、FedEx WebサイトのCustomer Support経路から確認を試みた
- カスタマーサポートページはメールコミュニケーションと送信者ドメインの確認に重点を置いており、SMSに記載されていた番号とは別の電話番号を案内していた
- 案内された番号に電話してdutyとtaxesのメニューへ進んだが、数段階後にキーパッド入力が機能せず、同じメッセージが繰り返された
- 代わりに132610へ電話するよう案内が流れたが、その番号は最初にかけた番号そのものだった
- 別のメニュー経路から再度試すと、tracking numberを求められた後にWebサイトと同じ情報が案内され、オペレーター接続の選択肢も提供された
- オペレーターは、配送品の価値が US$799 で、AU$1,215.97 に換算されるためinbound feesの対象だと案内したが、SMSの金額と一致するかどうかは折り返し連絡するとした
- 最初のSMSから3日後にメールが届き、金額・BPOINTアドレス・メッセージ内容がSMSと一致していた
- メールの添付ファイルにはPrusaの請求書全体と注文番号、価格、配送情報が含まれており、SMSが実際の請求に結びついていることが確認できた
フィッシング防御を弱める企業メッセージ
- オーストラリアだけでもスキャム被害額は年間 AU$3B超 にのぼり、グローバルではさらに大きな問題である
- ACMAは通信事業者が 3億3,600万件のスキャムSMSをブロック したと明らかにしたが、ブロックされなかったスキャムメッセージ数は分からない
- 技術的統制だけでは十分ではないため、人は金銭要求、緊急性、不自然な文法や大文字・小文字、不審なURLといったパターンでスキャムを識別しなければならない
- この事例では、正当なFedExメッセージがまさにそうした スキャム識別パターン を多数含んでいた
- AIベースのスキャムがますます見分けにくくなる時代に、正当な組織のメッセージがスキャマーと区別できないなら、ユーザーの判断基準は弱まってしまう
1件のコメント
Hacker News の意見
FedEx は大企業の中でもデジタルプラットフォームが最悪で、セキュリティも最もずさんな部類に入る
築浅のマンションに引っ越して FedEx Delivery Manager を設定したところ、新しい住所を入力しただけで、何の検証もなく前の入居者の配送指示がすぐに見えてしまい、その中には建物の個人用ガレージコードまで含まれていた。泥棒でも同じことができたはず
引っ越した後、新しい住所を追加しようとしたが、サイトは毎回エラーになり、フォーラムを調べてみると、パスワードに特殊文字があるとサイトの一部機能が恒久的に壊れるという仮説が正しかった。パスワード変更フローまで壊れていたため、結局妻がより弱いパスワードで新しいアカウントを作るしかなかった
会社自体は印象的なのに、これは本当に素人レベルだ
最近の2件の注文は、FedEx 内部の誰かにそのまま盗まれたようで、施設には入ったが、その後外には出なかった。カスタマーサポートは海外にいる謝罪マシンでしかなく、何も解決できない。以前は FedEx を好んでいたが、サービス水準があまりにも低下したので、わざと避けるようになった
アカウントを作った途端、自分とはまったく関係のない発送者・受取人の 数千ドル分の国際配送請求書 が届き、登録したクレジットカードから自動決済までされた。カードを削除すると、分厚い FedEx の紙の請求書が郵送で届き始めた
分かったのは、FedEx は9桁のアカウント番号さえ分かればどのアカウントにも請求できるようにしていて、詐欺師たちがランダムな番号を生成してこういうことを常習的に行える構造だったということ。FedEx は気にせず、詐欺の報告も拒否し、報告後も追加の詐欺配送を許可した。結局カード会社にチャージバックをかけてようやくアカウントを閉じてくれたが、今でも解除できないマーケティングメールが届き続けている。誰も使うべきではない会社だ
住所さえ分かれば、インターネット上のどこからでも地球上の誰に対してもサービス拒否攻撃ができるというわけだ
1〜2か月の間、小包が盗まれたと思って待ち続けた後、USPS に保管していないか尋ねたところ、実際に「配達不能郵便室」にあり、FedEx が USPS/政府所有の郵便受けに小包を入れるのは違法だと長々と説教された
FedEx に解決を求めようと電話したが、記憶では電話に出なかったか、配達員に連絡する方法はないと言われた。その後 FedEx は避けており、UPS も eBay で買ったアンティークランプ2つを壊された後は避けるようになった
妻が住宅担保型の信用ローンを申し込んだとき、銀行からだと名乗る人が電話してきて、家が共同名義なので私がローンを承認しているか確認する必要があると言われた
名前を聞かれたので答え、続いて社会保障番号の下4桁も伝えたが、すぐに社会保障番号全体を求められたところで警戒心が働いた。突然電話してきた見知らぬ相手に、下4桁だけでも教えてしまったことが不安になり、銀行のWebサイトに載っている番号へかけ直して、彼が本当に職員なのか確認できるか尋ねた
彼は苛立ちながら、自分につながる番号はWebサイトにはないだろうし、社会保障番号全体を渡さないならローン申請を却下するしかないと言った。銀行の公式番号経由で改めて連絡する手段がないなら情報は渡せないと言うと、怒って電話を切った
結局、彼は本物の銀行員で、実際にローン申請を取り消していた
実際に公式番号へ電話してみると、銀行もそれを認めた。よくないセキュリティ慣行だと説明したが、発信者番号を見て銀行からの電話か確認すればよいと言われた。発信者番号の偽装について説明しても、まったく効果はなかった
2011年以前は、先頭3桁が発行事務所を示し、中央2桁の「グループ番号」は公に知られた順序に従って使われていた。社会保障局は、各事務所が到達した最大グループ番号の一覧も定期的に公開していた
1986年の税法改正で、子どもの税額控除を受けるには子どもの社会保障番号が必要になったため、出生時登録が一般的になり、こうした人たちは先頭5桁を非常に予測されやすい
顧客を怒らせていては甘い手数料を得られないので、普通は親切だ。最後に話した融資担当者は、年間10億ドル以上の住宅ローンを成立させていて、電話越しでも本当に親切だった
こういう場合なら、銀行の公式メールアドレスからメールを送らせるとか、銀行自身のWebアプリやメッセージングシステムを使わせることができたはず
電話に出ると、相手は詐欺電話でよく聞くような非常に強い訛りで、最近取引をしたかと尋ね、この取引を確認するには自宅住所や社会保障番号など追加の個人情報を提供しろと言った。拒否すると、口座がロックされると言われた
実際に口座はロックされ、支店まで直接行って解除しなければならず、送金しようとしていたお金が別の口座に実際にあることも証明しなければならなかった。まったく筋が通らない。新しい口座でもなく、以前にもその2つの口座間で送金したことがあったのに、いったいどんな詐欺を防ごうとしていたのかわからない
ところがフィッシングのように見える慣行について問い合わせると、最近の180日分の取引履歴を見るために認証情報を入力させ、信用スコアを計算したうえでお金を引き落とす「合法的な」Webサイトなので問題ないと言われた。ドイツの会社と状況を確認し、よりよい解決策があるか見てみるとも言っていた
klaraかklarnaかという決済プロバイダーはドイツでかなり人気があるようだが、銀行がセキュリティ関連の約款を一方的に変えるのは理解できない。もちろん、秘密情報を間違った相手に渡したらそれはあなたの責任で、社会保障番号が詐欺師に渡っても銀行は気にしないだろう
数か月前、会社のITセンターから受け取ったメールが、これまで受け取ったどんなフィッシングメールよりも怪しかった。
会社の公式ドメインとはまったく似ていない
@itservice.comのような一般ドメインから来ていて、件名は「URGENT: your account is expiring soon」だった。本文には複数のリンクがあったが、どれも読みにくく複数行にわたって長く、会社に直接結びつくドメインはひとつもなかった。リンクをクリックする以外の解決方法もなく、「アカウント設定へ移動」「直属の上司に問い合わせ」といった代替手段もなかった。ところが実際のメールだった。ちなみに従業員数約10万人の会社である。
同じチームが6か月ごとにパスワード変更を強制し、直近20個のパスワードの再利用も禁止している。パスワードマネージャーを直接呼び出せないシステムに、1日10〜20回手入力しなければならないパスワードだ。従業員の平均的なパスワード強度がどうなるかは目に見えている。
ITの無能さは監査不合格につながるべきだし、さらに言えば上場廃止理由になってもいいと思う。
purchase-verification-users.net/235532/confirm.htmlのようなランダムな銀行ではないWebサイトのリンクをクリックしろとあり、検索してもそのサイトは出てこなかった。同時にランダムな番号から電話があり、いくつかの購入履歴を確認したいと言われた。調べてみると、その番号は自分の銀行のWebサイトに載っている番号ではなかった。
電話を切って銀行に直接かけたところ、10分ほど自動応答をさまよった後、担当者がその番号は実際に顧客への連絡に使っている番号だと確認してくれた。なぜWebサイトに掲載している番号一覧にないのかと尋ねると、オンラインで公開していない番号からもよく電話するのだと言われた。
そのメールを送ったのは銀行なのかと聞くと、差出人欄に銀行と書いてあればクリックしてよいと言われたが、実際にそのメールを送ったかどうかの情報はないとのことだった。差出人欄が銀行でなければ押さず、銀行なら押してよい、というような話だった。
少し皮肉ではあるが、その程度の会社でフィッシング報告手段すらないのなら、怪しいメールキャンペーンよりもさらに深刻な問題があるということだ。
おそらく中央で検査する目的なら、ある程度合理的な妥協なのかもしれないが、自分がメールの正当性を判断する能力を大きく下げている。少なくとも研修内容は更新すべきだ。
最初は衝撃を受けて情報セキュリティの確認をしたが、実は機器の棚卸しのためにシステム情報を集める必要があった「新人」だった。まだネットワーク管理ツールへのアクセス権がなく、やみくもに
curl ... | shを実行するのがなぜ良くないのかをよく理解していなかったため、人々から断片的に直接情報をもらえば大丈夫だと考えたらしい。こういうことは実際に起きる。
今日、ドイツの銀行が新しい約款を入れた USBメモリを郵送してきたというReddit投稿を見た: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
作り話では済まないレベルだ。
一部の銀行や金融機関は、これを妙に解釈しているようだ。他ではメール添付ファイルでも十分に見えるのだが。
顧客に文書を届ける義務があるのだが、経営陣がその要件を妙に受け取り、最もばかげた解決策やアイデアが彼らに売り込まれている。
車を買って数か月後、保険加入を証明していないので、銀行が所有していないドメインにアクセスして証明書類を提出しろというメールを受け取った。
メールは粗くスキャンしたレターヘッドのように見え、本当に怪しかった。何度か受け取った後、結局銀行に連絡してみると本物だった。
窓口係ではなく、自分のデスクを持つ担当者に、この状況がなぜまずいのか説明しようとしたが、理解してもらえなかった。まもなくそのローンを完済し、その銀行を離れた。
保険ブローカーに電話してみると、実際の依頼で間違いなかった。この手紙はあらゆる警告サインに照らすとナイジェリアの王子詐欺と数段階しか違わない、と説明したが、大きな変化はなかったようだ。
文章自体は素晴らしかったが、最初のSMSがあまりにひどく、FedExは受取人に関税をナイジェリアの王子へ送金するよう言ったほうがましなほどだった。
ただし、Troy Huntの勧める方向性には一部同意しない。基本前提は、人は一般に本物のメッセージとフィッシングメッセージを区別できない、というものであるべきだ。AIのせいで今後はさらにそうなるだろうし、そのような特徴の見分けに依存するのは致命的な欠陥だ。
代わりに、受け取ったメッセージ内の外部リンクや電話番号には絶対に依存してはならない。住所や電話番号を自分で探し、そのサービスにログインすべきだ。切る、調べる、かけ直すは絶対的な合言葉になるべきだ。
責任ある組織は、SMS・メール・電話にリンクや電話番号を絶対に入れないと宣言し、通知メッセージには「詳細はダッシュボードにログインして確認してください」程度だけを書くべきだ。
彼は、詐欺的なURLをヒューリスティックに見分ける方法は、長期的にスケーラブルなアプローチではないと考えているのが明らかだ。
人間はすでにフィッシングの識別に95%程度失敗している。人間でもすでに本物のメール、Webサイト、SMSなどを正確に複製できるので、AIは必要ない。
リンクは入れてよいが、主要ドメインに属するものにし、短く目立つ形にすればいい: https://example.com/contact
ユーザーがログインしていない状態なら、「当社からメッセージを受け取った場合、詳細を見るにはログインしてください」と説明するログインフローを先に見せ、問い合わせフォーム、電話番号、カスタマーサポートのチャットがあるならそれも含めればよい。
フィッシングサイトもある程度は真似できるが、ユーザーに問題解決方法を自力で見つけることを強制する理由にはならない。
これは組織的な無能の結果ではあるが、どこかの時点で、問題のSMSテンプレートの内容を何らかのコンピューターシステムに入力した一人の人間がいたはずだ。
その人が何を考えてこんなふうに単語をつなぎ合わせたのか、本当に気になる。もっと悪くするには本気で努力しなければならないほどだ。
技術分野には、善意はあるが一人で実行するにはやや複雑なことを、同僚やレビュー担当者なしでやっている人が多い。大企業には、チームや部署全体がこの状態のところもある。
その人は完全に無能ではなく、チームのスターエンジニアだったかもしれないし、他の人たちは自分たちに貢献できることはないと思って口を閉ざしていたのかもしれない。本当に優秀な人たちは別フロアの格好いい新規プロジェクトやエリート「リファクタリングチーム」に移っていて、テンプレート更新のような仕事に時間を使っていなかったのだろう。
一人が文面を書き、別の人がJiraチケットで部分的な修正を求めたのかもしれない。ところがデータ型が作成者の求めたものと合わず、開発者が処理したくなくてそのままデプロイした可能性もある。
あるいは、メッセージが互いに分離された複数の
if文で構成され、最終出力だけが顧客に届く構造なのかもしれない。全体のメッセージを見る人がいないまま、各自が自分の条件文内の小さな部分だけを直していると、ひどいログメッセージはよく生まれる。以前、あるエラーがなぜ発生したのかを非常に詳細に説明するメッセージを生成するコードを扱ったことがあるが、あとで見るとその大半は顧客に届いていなかった。後段で誰かが
+=の代わりに変数を再代入していたためだ。数多くのサポートチケットを避けられたはずだ。このテンプレートを書いた架空の人物も同じことをしようとして、その結果があれほど似たものになったのだろう。「urgent」を使ったり、「Duty」「Taxes」を大文字で始めたりしたのも、より格式があり公式に見せようとする試みから出たもののようで、明らかに熟練した書き手ではなかった。
無能と悪意に関する古い格言はどちらか一方を選ばせるが、実際には両者の間にはスペクトルがあり、意識的・無意識的な意図を説明する複数の次元があると見るほうが正確だ。
英国Post Officeスキャンダルを見ると、無能の上に悪意が、その上にさらに無能が積み重なっている様子がわかる。組織によっては、明らかに有害な立場が「ポリシー」として書かれることもある。これはしばしば「PR」の下に入れられ、今後は悪意を隠してレビューを避けるために「AI」がより多く使われるだろう。
ITVドラマの最終話で、Alan Bates役のToby Jonesが無能と悪について「その二つは同じものだ」と言う場面は強烈だった。ある時点では、無能と悪の差は消える。より深い心理学的議論はここで聞ける: https://cybershow.uk/episodes.php?id=23
関連資料: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office、Edward Bernaysによるパブリック・リレーションズの定義は、セキュリティとは正反対の、欺瞞・操作・偽情報の信条を提示している: [https://en.wikipedia.org/wiki/Public_Relations_(book)](https://en.wikipedia.org/wiki/Public_Relations_(book))
私のFedExでの経験ともよく一致します。荷物を受け取ってから7か月後に請求書を送ってきて、その数日後には支払いに必要な情報もない督促状が届きました。
未払いの請求書はなくしてしまった可能性もありますが、必要な情報を抜かすのはかなり怠慢で愚かなことです。www.fedex.com に行ってアカウントを作れと言われたので作りましたが、私の請求書については何も把握していませんでした。
偶然、元の請求書を見つけたのですが、7か月遅れで送られてきたその請求書には、ごく小さな文字で「即時支払い」と書かれていました。私の国では通常30日なので、請求書で初めて見た表現でした。もちろん、私が支払ってから10日後に2通目の督促状も送ってきました。
Texas の有料道路を走ると、その場で料金を払える料金所はなく、6〜12か月後に郵便で「5回目かつ最後の警告」という請求書が届きます。通行料4ドルと延滞料80ドルを払え、という具合です。
これを運営している人たちの背後には、Texas 州議会に友人か家族がいるに違いないと思っています。
債権回収に関する恐ろしいメッセージが大量に届きましたが、FedEx の荷物に関係するという話以外、何の説明もありませんでした。
多くのものが外部のクラウドプロバイダーにアウトソーシングされることで生じる本当の問題です。
以前は、会社のイントラネットから来たものなら問題ありませんでした。今ではアンケート、研修、新しい流行プロジェクトがすべて正体不明の外部ドメインから来て、そこに会社の認証情報でログインしろと言われます。
私の会社は「偽フィッシング」キャンペーンを運用して、フィッシングメールの認識をゲーム化し、感覚を保たせていますが、正当な会社業務でこういうことが必要であってはなりません。
法案を提案するなら、企業の電子通知が、合理的な人なら正当性を疑う明白な理由があるほどフィッシングのように見える場合、それを無視したことによるあらゆる金銭的・法的結果は送信者が負うべきです。
ここでいう「送信者」とは、電子通知を送った側を意味します。
法律に「合理的」という単語が1回出てくるたびに、弁護士費用として10億ドル以上がすでに使われたか、これから使われると見ていいでしょう。
後で同じ内容の実際の郵便を受け取り、銀行に電話してみると、以前の雇用主からの年金関連資金を保管する口座がそこにありました。
そうなると、その機関が FedEx に荷物を引き渡さず、結局あなたは荷物を受け取れません。FedEx はこうした通知をはるかに改善すべきで、少なくともコピーライターくらいは雇うべきです。
税金を前払いする簡単な方法がなく、検査に引っかかるかどうかを運任せにしなければならないのは残念です。EU がこの問題を整理して、奇妙な surprises がほとんどなくなったのは幸いです。United States と United Kingdom 方面を除けば。