【スポンサーリンク】

怪しいアプリはどうやってアカウントを「乗っ取る」の?(セッションの乗っ取り)

ネットニュースを読んでいたら、「YouTubeチャンネルの乗っ取り詐欺」の手口について紹介されていました。個人でも注意すべきポイントがあったので、まとめておきます。

ポイント
  • アプリをインストールするときは、素性を確認する。
  • 偽アプリは、ブラウザ情報を盗み取ると「なりすまし」ができる。
\記事が役に立ったらシェアしてね/
【スポンサーリンク】

乗っ取り詐欺の手口

簡単に乗っ取りまでの流れをまとめると、こうなります。

乗っ取りの手口
  • ユーチューバーにアプリの紹介依頼のメールが届く。
  • 偽アプリをインストールしてしまう。
  • 偽アプリがブラウザのログイン情報を外部に送ってしまう。
  • 送られたログイン情報でなりすます。

ポイントは、「偽アプリのインストール」です。

ユーチューバーには、「企業案件」という広告の依頼が少なくありません。そのような依頼に見せかけて、偽アプリをインストールさせる、というのが詐欺の手口です。

ふだんなら知らないアプリをインストールしないように用心していても、「依頼」となるとインストールしてしまいそうですね。

アプリのインストールは、やっぱり注意しないといけないんだね。

セッションIDを盗む

どうやって「なりすまし」でログインできたの?

パスワードが盗まれちゃったの?

インストールされた偽アプリは、スマホの中のデータを収集して、外部に送信します。とはいっても、パスワードなどには簡単にアクセスできるわけではありません。

そこで、悪用されたのが「Cookie」の「セッションID」です。

毎回パスワードを入力するのは大変なので、一度ログインすると、しばらくログイン状態が維持されます。この維持されるのは、ブラウザに「セッションID」を記録します。

パスワードのログイン状態はいつ終わる?【セッションとクッキー】 – スマホ教室ちいラボ

偽アプリは、パスワードこそ盗めなかったものの、この「セッションID」を盗み取ります。

犯人は盗んだセッションIDをブラウザに書き込んで、そのサイトにアクセスして、ログインが必要なページに侵入してしまうのです。

パスワードを盗まれていないのに、不正アクセスされてしまうんだね💦

セッションは時間が立つと終了しますので、犯人もいつまでもログインはできません。ただ、ログインできる間にいろいろ悪さをして、連絡先メールアドレスを変更したり、パスワードをリセットしようとしたりすることが考えられます。

偽アプリの見分け方

すべてのスタートは、偽アプリをインストールしてしまったことなので、アプリのインストールは慎重にしましょう。

アプリをインストールするときには、必ず信頼できるものか確認する必要があります。

そのためには、公式のアプリストア(PlayストアやApp Store)を使うのが安全です。

公式アプリストアは、不正なアプリは公開停止になります。

また、開発元やダウンロード数、レビューが公開されているので、偽アプリを見分けやすいです。

こちらもどうぞ

Evie Launcherの偽アプリに注意!【消えたホーム画面アプリ】
Androidスマートフォンのホームアプリで「Evie Launcher」を使っているんですが、いつの間にかPlayストアから消えてしまっていました。 検索してみると、偽アプリが出てきたので、メモしておきます。 ポイント Evie LauncherはGoogle Playストアから削除されている。Evie のTwitterアカウントも2017年から更新がない。偽アプリは極端にダウンロード数が少ない...
パスワードのログイン状態はいつ終わる?【セッションとクッキー】
同じオンラインショップにアクセスした時でも、ログインが必要なときと不要な時があるのはなぜ? 確かに、ブラウザでログインが必要なウェブサイトにアクセスしたときに、自動的にログインされているときと、ログインが必要なときがありますね。 きちんとログアウトしなくても大丈夫なのか、心配なのよね。 逆に、普段はパスワード入力がいらないのに、急にログイン画面が出てきて戸惑うこともあるね。 今回は、ログイン状態の...
どうすると詐欺サイトに引っかかってしまうか? 【乗っ取りアプリのインストールの流れ】
送られてきた不審なメッセージからスマートフォンを乗っ取られた、なんて聞くと不安になります。 どうすれば、不審なメッセージを区別できるのでしょう。 今回は、不正なアプリに「乗っ取られ」ないように、アプリをインストールするしくみについて学習してみましょう こんなニュースがありました ニュースを見ていたら「送られてきたメッセージのリンクを開きたら、アプリに乗っ取られて、すごい請求が来た」という話がありま...
【注意喚起】Playストアの「Avatarify」は偽アプリ 【ダウンロード数を確認】
2021年4月1日 写真が歌い出すアプリ「Avatarify」が、めざましテレビ で紹介されていました。 ポイント AvatarifyにはiOS版しかない。Playストアにある同名のアプリは、開発元が違う。同名のアプリは、見掛け倒しで評価の低いものや、アプリ権限が不自然に多いものが多い。 AvatarifyはiOS版しかない(2021年4月1日時点) 番組内でも表示されてましたが iOS版しかあり...

QRコードを読み込むと、関連記事を確認できます。
怪しいアプリはどうやってアカウントを「乗っ取る」の?(セッションの乗っ取り)
【スポンサーリンク】
タイトルとURLをコピーしました