GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる

手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。

だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。

Twitterアカウントに目をつける
元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。

Twitterプロフィールから、本人のウェブサイトへ
本人のウェブサイトからGmailのアドレスを発見

Gmailで「パスワードがわからない」から再発行
再発行メール用のアドレスが画面に表示される。この m****n@me.com の表示と、Gmailのアカウントからme.comのアカウントを推定。

Appleテックサポートに電話
「パスワード忘れて、リマインダ質問も失敗しちゃうんだけど・・・」→「では住所とクレジットカードの下四桁を教えてください」
パスワード再発行に必要な情報をゲット

ここからの手口があざやか

Amazonのテックサポートに電話
「新しくクレジットカードを追加したいのだけど・・・」→「ではアカウント名と(追加する)カードの住所を教えてください」
クレジットカードを勝手に登録。

Amazonのテックサポートに電話2
「アカウントにアクセスできないんだけどパスワード再発行して・・・」→「ではクレジットカード番号を教えてください」→「さっき登録したクレジットカード情報を教える」
本人確認後に、新しいメアドを登録してもらう。(多分、「大学を卒業したらメアドにアクセスできなくなった」とかそういう風に言った)。
Amazonのアカウントを乗っ取り成功!!!

Appleテックサポートに電話
Amazonから盗んだクレジット情報で、meのアカウントをゲット。

meにログイン
Gmailアカウントの再発行メールをゲット。

Gmailにログイン
Twitterアカウントの再発行メールを・・・

基本的には、欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法で語られるような、オーソドックスなソーシャルエンジニアリングではあるのだけど、こうも鮮やかにいくものなのかとビックリ。

image

ちなみに、この本はUS屈指のハッカーによる、ソーシャルハッキングについての本です。これを読むと、もう人生で防御できる情報はないんじゃないか・・・って気分になる。この人達、電話一本で刑務所内の囚人との直通ホットライン作ったり、銀行から800万ドルゲットしたりしてるんだぜ・・・

自分も、海外サービスの解約(自分のサービスね)を電話でしたことあるのですが、向こうのサービスってほんとクレジットカード下4桁で解約とかできちゃうんですよね・・・

全てがクラウドの向こう側で進行する為、途中でアタックに気づいて電話線を引っこ抜いてもなんの解決にもならないところがポイントです。こんなんガードできねぇよ。

<追記>
ちなみに被害者の人は、本名、電話番号、住所、クレジットカード番号、Gmail, me.com、Amazon、Twitterのアカウントが全て乗っ取られたので、「銀行や保険のアカウントまでハック可能」な詰みゲー状態になったものの、クラッカーは単にTwitterアカウントを乗っ取りたかっただけなので、クラッカーに慈悲をかけられたっぽいです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA