ネットニュースを読んでいたら、「YouTubeチャンネルの乗っ取り詐欺」の手口について紹介されていました。個人でも注意すべきポイントがあったので、まとめておきます。
1. 乗っ取り詐欺の手口
簡単に乗っ取りまでの流れをまとめると、こうなります。
ポイントは、「偽アプリのインストール」です。
ユーチューバーには、「企業案件」という広告の依頼が少なくありません。そのような依頼に見せかけて、偽アプリをインストールさせる、というのが詐欺の手口です。
ふだんなら知らないアプリをインストールしないように用心していても、「依頼」となるとインストールしてしまいそうですね。
アプリのインストールは、やっぱり注意しないといけないんだね。
2. セッションIDを盗む
どうやって「なりすまし」でログインできたの?
パスワードが盗まれちゃったの?
インストールされた偽アプリは、スマホの中のデータを収集して、外部に送信します。とはいっても、パスワードなどには簡単にアクセスできるわけではありません。
そこで、悪用されたのが「Cookie」の「セッションID」です。
毎回パスワードを入力するのは大変なので、一度ログインすると、しばらくログイン状態が維持されます。この維持されるのは、ブラウザに「セッションID」を記録します。
偽アプリは、パスワードこそ盗めなかったものの、この「セッションID」を盗み取ります。
犯人は盗んだセッションIDをブラウザに書き込んで、そのサイトにアクセスして、ログインが必要なページに侵入してしまうのです。
パスワードを盗まれていないのに、不正アクセスされてしまうんだね💦
セッションは時間が立つと終了しますので、犯人もいつまでもログインはできません。ただ、ログインできる間にいろいろ悪さをして、連絡先メールアドレスを変更したり、パスワードをリセットしようとしたりすることが考えられます。
3. 偽アプリの見分け方
すべてのスタートは、偽アプリをインストールしてしまったことなので、アプリのインストールは慎重にしましょう。
アプリをインストールするときには、必ず信頼できるものか確認する必要があります。
そのためには、公式のアプリストア(PlayストアやApp Store)を使うのが安全です。
公式アプリストアは、不正なアプリは公開停止になります。
また、開発元やダウンロード数、レビューが公開されているので、偽アプリを見分けやすいです。
こちらもどうぞ