Telegramアカウント乗っ取りの手口

アカウントをサイバー犯罪者から守る方法をご紹介します。

最近、Telegramのユーザーが、自身のアカウントを何者かに乗っ取られる事例が発生しています。その手口は様々ですが、よくある例として、まずユーザーの連絡先の誰かから何らかのサイトへのリンクを含むメッセージが届きます。オンライン投票やコンテストの参加への招待、Telegram Premiumのプレゼントまたは試用版の提供、集団陳情への署名の依頼などを装ったメッセージです。内容は何であれ、すべての手口に共通するのは、ユーザーの電話番号とメッセンジャーの認証コードを入力するか、QRコードをスキャンする方法によるTelegram経由の認証を必要としていることです。しかし、これこそが、あなたがやってはいけないことなのです。やってしまうと、アカウントを失う可能性もあります。

乗っ取り犯の手口

もちろん、コンテストも陳情もプレゼントも存在しません。メッセージを書いたのはあなたが知っている連絡先の人物ではなく、その連絡先のアカウントを(おそらく同じ方法で)乗っ取った攻撃者です。

サイバー犯罪者によって送信されたリンクは、通常、URL短縮サービスを使って作成されています。この種のツールは、送信者がサイトの本当のアドレスを見せたくない場合によく使用されます。さらに、このようなリンクはフィッシング対策ツールによる検知を難しくします。

大抵の場合、サイトはかなり地味な作りになっています。最初のページには、手口に応じて「サインインして署名する」または「Telegram Premium試用版への無料アクセス」といったメッセージが表示されています。次はメッセンジャーのログイン画面です。ここでは2つのバリエーションがあります。デスクトップでサイトを開いた人は、QRコードを使ってログインするよう促されます。モバイルデバイスを使っている場合は、国と電話番号の入力が求められます。時には(スクリーンショットに表示されているように)、攻撃者は、犠牲者がより便利なオプションを選べるようにしています。

アカウントを乗っ取れるようにQRコードまたは電話番号を入力するように促すサイバー犯罪者のサイト

アカウントを乗っ取れるようにQRコードまたは電話番号を入力するように促すサイバー犯罪者のサイト

電話番号を入力した場合、攻撃者のスクリプトは新しいデバイスからあなたのTelegramアカウントにログインします。メッセンジャーのセキュリティメカニズムにより、ユーザーの確認が求められるため、Telegramがすでに認証している電話またはコンピューターに認証コードを送信します。Telegramの二要素認証(2FA)を無効にしている場合は、このコードと電話番号だけで、攻撃者はあなたのアカウントにログインできてしまいます。詐欺師のサイトにこのコードを入力した場合、あなたのアカウントは、別のデバイスにリンクする機能も含めて完全に詐欺師の手に渡ります。

QRコードを使用する場合はもっと単純で、認証コードすら必要ありません。というのも、これは携帯電話からログインするためのコードではなく、実は、追加のデバイスまたはWebセッションをあなたのアカウントに接続するためのコードだからです。あなたが指示に従ってコードをスキャンしてしまうと、攻撃者が自動的にあなたのアカウントにログインして制御できるようになります。

その他のよくあるフィッシングの手口についてご興味がある場合は、当社の2022年のスパムおよびフィッシングに関するレポートをお読みください。

サイバー犯罪者がアカウントを盗む理由

盗まれたアカウントはさまざまな方法で使用されます。最もわかりやすいのは、乗っ取ったアカウントに登録されている連絡先に詐欺のリンクを次々に送りつけることですが他の使い方もあります。

まず、アカウントには他の犯罪の手口に利用できるデータがあふれています。デスクトップ版Telegramにアクセスできれば、詐欺師はあなたの連絡先リスト、個人情報、チャット履歴、アップロードまたは受信したファイルをエクスポートできます。これらに秘密情報が含まれている可能性があります。ユーザーの中には、すぐアクセスできるようにドキュメントをスキャンしてお気に入りに保管している人もいるでしょう。

しばらくたってから、乗っ取り犯が連絡してきて、金を払えばアカウントを返すと言ってくる可能性もあります。

騙されないためには

まず、疑わしいリンクをクリックしないように気をつけてください。さらに、どんな状況でも、Telegramの認証コードをTelegramアプリ以外の場所に入力してはなりません。

アカウントの乗っ取りを少し難しくするために、メッセンジャーの2FAを有効にすることをお勧めします。有効にしても普段のやりとりには影響しません。しかし、他のデバイスからログインがあった場合は、予防策として追加のパスワード入力を求めることで防御できます。

携帯電話でTelegramこの後は、パスワードの設定、パスワードを忘れた場合のオプションのヒントの設定、復旧用のメールの設定、受信ボックスに届いた確認コードの入力を行うだけです。

わなにかかった場合の対応

すでに詐欺に引っかかって偽サイトにコードを入力してしまった場合でもまだ望みはあります。すばやく対応することで、アカウントの制御を取り戻せる可能性があります。

ヒント