Fidoを装ったフィッシング詐欺に引っかかった件

フィッシングに引っかかるまでの経緯

私は昨年夏ごろまで、Canadaのモバイルキャリア大手のFidoと契約していて、そのあと安価なフリーダムモバイルに乗り換えた。キャリアチェンジした月の翌月分までは既にfidoに月額費を支払い済みだっため、overchargeしていたことになる。とりあえず払い過ぎた分のリファウンド手続きを進めようと、近くの小売店のスタッフに問い合わせたところ、通常はチェック（小切手）で払い過ぎた分が戻ってくるとの事だったので、おとなしく待つことにしていた。

というのが2017年の6月だか7月ごろに発生していたのだが、2018年の2月も終わりそうな現在になっても全くチェックがやってくる気配がない、というかすっかり忘れていた。

関連記事 : 月々$60の3GBプラン(fido)から、$26の4GBプラン(Freedom Mobile)に携帯をキャリアチェンジしてみた。

フィッシングの手口とフィッシングだと気がつくまで

1. 日曜日の朝頃に、"Fido Solutions Inc"からメッセージを受け取る。メッセージ内容は、 "Fido Solutions Inc : Fido has sent you an e-transfer, your account has been overcharged.
2. メッセージに引き続き、e-transferで超過分のお金を受け取るためのe-transferの確認用urlが届く。customer-verification.ml. 私は実際にFidoにoverchargeしていて、問い合わせまでしていたので、このメッセージになんの疑いも持たずリンクをクリックしてしまう。
3. urlをタップすると、e-transferの手続きをするための確認画面がでてくる。このよく見慣れた画面で、他の取引でe-transferを使用する度にでていたきがするので、この時もなんの疑いも持っていなかった。
4. 手続きを進めるために金額を確認し、ページ上のボタンを押す。
5. ここからはうろ覚えだが、たしかe-transferの設定が上手くできてない的なエラーが表示されたきがする。
6. その後自分のTDのアカウントのページに飛び、秘密の質問と答えを聞かれる。入力する。（秘密の質問を聞かれることはログインする時によくあることなのでこの時も疑問に思わなかった）
7. 秘密の質問の答えを入れてボタンを押すがエラーがでる。何度やってもエラーがでる。
8. じつは自分の場合秘密の質問に対しての答えを自分でよく覚えてなくて、過去にパスワードやれの再発行をしたことがあるほどあやふやな記憶だったので今回も自分がパスワード間違えていたのかと思っていた。（というかその可能性は未だにある）。ちなみにTDは秘密の質問を5個から10個指定できるが、同じ答えは設定できないため、質問に対してユニークな答えをそれぞれ用意してないといけない。
9. エラーがでるので諦めて、後日に再度トライしようと放置。
10. 3日後の水曜日（現在）に手続きを再開しようと、urlをチェック→ページが確認できませんエラー。
11. 手続きページへのリンクはfido公式にあるはずだと思い立ち、ググってみると、同様のスパムがあることが検索結果に大量にでてくる。(ここで初めて疑惑をもつ）
12. fidoからのメッセージの場合は、送信元の電話番号は信頼された機関がもてる短いナンバーになるとのこと。通常なら4桁から長くても7桁程度らしいが、この時の番号は +1(506)220-0429 という長い番号だった。

とられたもの

今のところなし。

Webサイト上で何を入力したか正直覚えてない。秘密の質問の答えで間違ったものを入力し続けていた可能性は実はかなりある。（自分はパスワードや秘密の質問の答えを複数のサイト使い回しはしないので、それぞれユニークな値を入力しないといけない）。当然全てのサイトごとのものを覚えていられないので、別の管理ツールを参照する必要があるのだが、このときはそれが面倒臭かったので、自分が設定した秘密の質問に馬鹿正直に答えたものを入力していた。

サイトをクリックしてしまってからの対処

どの程度の情報がとられているかわからないが思いつく対処法を上げておく。

• カナダ政府に詐欺被害のレポート報告をする（実被害を被る前でもこの手の場合は申告可能）
  - Online: http://www.antifraudcentre-centreantifraude.ca/reportincident-signalerincident/index-eng.htm
  - By phone: 1 888 495-8501
  クレーム自体は匿名でするか身分を明かすか選ぶことができるが、どちらにしろログインが必要になる。
• 銀行に連絡。口座変更、パスワード変更、秘密の質問変更など。口座変更は既存の口座を一度閉じて、新し区作った口座に全ての情報を移動（transfer）させる事になる。給料の振込先もあわせて変更する必要がある。
• クレジットカード情報変更。口座とは別に、既存のクレジットカードを破棄し、新規で作ったカードを作ることで番号を変更する。番号だけ変更というのはできない。各種手続きの自動引き落とし設定などは番号が変わるためやり直す必要がある。また、今までのカード利用履歴などもクリアされてしまう。
• 口座からの引き落とし限度額の変更。デビットカードでのカード利用限度額の変更。クレジットカードの利用限度額の変更。この3種類はそれぞれ設定されている値が違うため、個別に対応する。クレジットカードの利用限度額は、下げるのは簡単だが、あげる場合は通常再度審査が必要になる。なお、クレジットカードの不正利用は、お金が戻ってくる可能性が、デビットカードやATMからの不正引き落としと比べて高い。

悪質なサイトに訪れるだけでどこまで情報が抜き取られる可能性があるのか？

正直わからない。今回私の場合はiPhoneのメッセージアプリからsafariを起動し、フォームに個人情報を入力してエンターキーを押す、というところまでプロセスを進めた。専門家ではないのでこのプロセスの中で最悪のケースどこまでやられているのか、私が現状想像しうる最悪のケースを羅列していく。ただの思いつきなので、専門家がみたら「そりゃねーわ」みたいなところがあるかもしれない。詳しい人がいたら教えてほしい。

• サイトを表示させるということは、サーバーにリクエストを送り、サイト側のデータを受信していることになるので、ここにマルウェアを仕込むことは可能である。iPhone safariの場合、外部サイトからの不明なプロファイルなどの使用は個別にsettings画面で認証処理を許可しないと実行されないようにできているという体裁になっているが、実際問題各Webサイト上で独自に動いているjavascriptやれさまざまなwebに関するスクリプトは、いちいち認証許可を与えることなくWebサイトを正常に稼働させるために動いている。ということはマルウェアとして認知されずにリクエストをバックグラウンドで処理させる仕組みは、正常に動く範囲内で認証を求めないスクリプト→ローカルストレージ内で動作するプログラムにコンパイルし直すことさえできれば実行ができる。これって可能なの？
• 仮にサイトに一度訪れたことで落としたデータが、サイトとの切断を切った後もリモートで動く可能性があるか？これは、上記の条件が可能な場合はネットワークにつながっている状態であれば可能性としてあり得る。そもそもhtml5 javascriptが正常に動く時点でローカルストレージにデータを入れ込んだりしてオフライン処理させるプログラムを落とし込めるわけだから（ただしブラウザ上のみ）、少なくともブラウザが読み取れる情報は全て抜き取れるはず。というか究極的にはブラウザ外のバックグラウンドで端末そのものを監視するソフトウェアを内部侵入後に展開なり生成なりできそうなきがする、となれば端末に入っている全ての情報は抜き取れてしまうことになる。まあそれができたら全てのサイトは危ないですよってことにもなりかねるしネットサーフィンなんてまったくできないわけだが。
• とはいいつつ実際問題として、iosの端末でsafariの外のプログラムにアクセスする場合は現状認証がおりる「はず」なので、iosセキュリティを信じるのであれば、悪質Webサイトに訪れたせいに抜き取られる情報は、大抵の場合、ルーターまでのglobal IPからひもづく情報と、サイトを開いてる間にとった行動（フォームに入力した内容、なんのキーをおしたか、どこをタッチしたか等）程度だろう。