【スポンサーリンク】

怪しいアプリはどうやってアカウントを「乗っ取る」の?(セッションの乗っ取り)

怪しいアプリはどうやってアカウントを「乗っ取る」の?(セッションの乗っ取り)

ネットニュースを読んでいたら、「YouTubeチャンネルの乗っ取り詐欺」の手口について紹介されていました。個人でも注意すべきポイントがあったので、まとめておきます。

ポイント
  • アプリをインストールするときは、素性を確認する。
  • 偽アプリは、ブラウザ情報を盗み取ると「なりすまし」ができる。
\記事が役に立ったらシェアしてね/
【スポンサーリンク】

1. 乗っ取り詐欺の手口

簡単に乗っ取りまでの流れをまとめると、こうなります。

乗っ取り詐欺の手口
乗っ取りの手口
  • ユーチューバーにアプリの紹介依頼のメールが届く。
  • 偽アプリをインストールしてしまう。
  • 偽アプリがブラウザのログイン情報を外部に送ってしまう。
  • 送られたログイン情報でなりすます。

ポイントは、「偽アプリのインストール」です。

ユーチューバーには、「企業案件」という広告の依頼が少なくありません。そのような依頼に見せかけて、偽アプリをインストールさせる、というのが詐欺の手口です。

ふだんなら知らないアプリをインストールしないように用心していても、「依頼」となるとインストールしてしまいそうですね。

乗っ取り詐欺の手口

アプリのインストールは、やっぱり注意しないといけないんだね。

2. セッションIDを盗む

セッションIDを盗む

どうやって「なりすまし」でログインできたの?

パスワードが盗まれちゃったの?

インストールされた偽アプリは、スマホの中のデータを収集して、外部に送信します。とはいっても、パスワードなどには簡単にアクセスできるわけではありません。

そこで、悪用されたのが「Cookie」の「セッションID」です。

毎回パスワードを入力するのは大変なので、一度ログインすると、しばらくログイン状態が維持されます。この維持されるのは、ブラウザに「セッションID」を記録します。

パスワードのログイン状態はいつ終わる?【セッションとクッキー】 – スマホ教室ちいラボ
パスワードのログイン状態はいつ終わる?【セッションとクッキー】 – スマホ教室ちいラボ

偽アプリは、パスワードこそ盗めなかったものの、この「セッションID」を盗み取ります。

犯人は盗んだセッションIDをブラウザに書き込んで、そのサイトにアクセスして、ログインが必要なページに侵入してしまうのです。

セッションIDを盗む

パスワードを盗まれていないのに、不正アクセスされてしまうんだね💦

セッションは時間が立つと終了しますので、犯人もいつまでもログインはできません。ただ、ログインできる間にいろいろ悪さをして、連絡先メールアドレスを変更したり、パスワードをリセットしようとしたりすることが考えられます。

3. 偽アプリの見分け方

偽アプリの見分け方

すべてのスタートは、偽アプリをインストールしてしまったことなので、アプリのインストールは慎重にしましょう。

アプリをインストールするときには、必ず信頼できるものか確認する必要があります。

そのためには、公式のアプリストア(PlayストアやApp Store)を使うのが安全です。

公式アプリストアは、不正なアプリは公開停止になります。

また、開発元やダウンロード数、レビューが公開されているので、偽アプリを見分けやすいです。

偽アプリの見分け方

こちらもどうぞ

Evie Launcherの偽アプリに注意!【消えたホーム画面アプリ】
Evie Launcherの偽アプリに注意!【消えたホーム画面アプリ】
Androidスマートフォンのホームアプリで「Evie Launcher」を使っているんですが、いつの間にかPlayストアから消えてしまっていました。 検索してみると、偽アプリが出てきたので、メモしておきます。 ポイント Evie LauncherはGoogle Playストアから削除されている。Evie のTwitterアカウントも2017年から更新がない。偽アプリは極端にダウンロード数が少ない。 Evie Launcherはサーバー上に見つかりません Google Pla...
パスワードのログイン状態はいつ終わる?【セッションとクッキー】
パスワードのログイン状態はいつ終わる?【セッションとクッキー】
同じオンラインショップにアクセスした時でも、ログインが必要なときと不要な時があるのはなぜ? 確かに、ブラウザでログインが必要なウェブサイトにアクセスしたときに、自動的にログインされているときと、ログインが必要なときがありますね。 きちんとログアウトしなくても大丈夫なのか、心配なのよね。 逆に、普段はパスワード入力がいらないのに、急にログイン画面が出てきて戸惑うこともあるね。 今回は、ログイン状態の保存と「セッション」について、みていきましょう。 パスワード入力が不要なケース ...
どうすると詐欺サイトに引っかかってしまうか? 【乗っ取りアプリのインストールの流れ】
どうすると詐欺サイトに引っかかってしまうか? 【乗っ取りアプリのインストールの流れ】
送られてきた不審なメッセージからスマートフォンを乗っ取られた、なんて聞くと不安になります。 どうすれば、不審なメッセージを区別できるのでしょう。 今回は、不正なアプリに「乗っ取られ」ないように、アプリをインストールするしくみについて学習してみましょう こんなニュースがありました ニュースを見ていたら「送られてきたメッセージのリンクを開きたら、アプリに乗っ取られて、すごい請求が来た」という話がありました。 スマホに届いた荷物の不在通知をクリックすると、スマホが乗っ取られ、詐欺メ...
【注意喚起】Playストアの「Avatarify」は偽アプリ 【ダウンロード数を確認】
【注意喚起】Playストアの「Avatarify」は偽アプリ 【ダウンロード数を確認】
2021年4月1日 写真が歌い出すアプリ「Avatarify」が、めざましテレビ で紹介されていました。 ポイント AvatarifyにはiOS版しかない。Playストアにある同名のアプリは、開発元が違う。同名のアプリは、見掛け倒しで評価の低いものや、アプリ権限が不自然に多いものが多い。 AvatarifyはiOS版しかない(2021年4月1日時点) 番組内でも表示されてましたが iOS版しかありません。 出典:めざましテレビ(2021年4月1日) AvatarifyiPho...

QRコードを読み込むと、関連記事を確認できます。

怪しいアプリはどうやってアカウントを「乗っ取る」の?(セッションの乗っ取り)
【スポンサーリンク】
タイトルとURLをコピーしました