フィッシング: ハッカーが Uber 子会社の配達員を狙う

フィッシング キャンペーンは、米国で大きな存在感を誇る配達サービスである Postmates の配達員をターゲットにしています。ハッカーはウーバー子会社の従業員を装い、従業員の資格情報を入手します。後者は、アプリケーションが攻撃に直面した際にセキュリティを確保していないと非難している。

Coursier livraison repas
クレジット: ノーマ・モーテンソン/Pexels

Uberの子会社であるPostmatesは、米国最大の配送サービスの 1 つ。このアプリは全国で 500,000 人以上の配達員を雇用しています。明らかに、このようなプラットフォームは、金儲けの絶好の機会と見なしている悪意のあるハッカーにとって容易です。フィッシングキャンペーンはしばらく前から行われており、配達業者だけをターゲットにして、現在実行していると考えています。他のものと同じような配達

そのうちの 1 人であるベンジャミン・セーファーさんは、マクドナルドのクッキーの簡単な注文を受け、最終的に費用がかかったときのことを語ります。彼のその週の収入全体、つまり 346 ドル。これを行うために、ハッカーはアプリケーションのシステム自体を利用します。つまり、同僚間の対話が存在しないこと、および攻撃が行われる可能性があることです。稼いだお金をいつでもすぐに送金できます彼の個人アカウントで。方法は常に同じです。虚偽の注文をして、宅配業者に連絡します。ポストメイツの従業員を装う

ハッカーは宅配業者に資格情報を提供するよう説得する

マクドナルドでクッキーを受け取った後、未知の番号からベンジャミン・セーファーに電話がかかりました。ポストメイツの従業員を名乗る電話の声が配達員に次のように告げた。彼のアカウントは詐欺行為によりブロックされました。非アクティブ化を避けるために、彼は偽のページに自分の識別子を入力して自分の情報を確認する必要がありました。「パニックになってしまった」と被害者は言う。「会話は奇妙に思えましたが、多かれ少なかれ意味はありました。」

被害者のアカウントにアクセスしたハッカーは、次のことを行うだけで済みました。Benjamin Safer の銀行口座情報の代わりに銀行口座情報を入力してくださいその後、送金を続行します。サイバーセキュリティ研究者のスティーブ・レーガンにとって、この慣行は驚くべきことではありません。「配達員は犯罪者にとって格好のターゲットだ」彼は説明する。「彼らはストレスを抱えており、過重労働にさらされており、多くの人は職を失うわけにはいきません。ハッカーは恐怖という要素を利用します。 »

こちらもお読みください —ウーバーはドライバーを従業員とみなす義務がある

Steve Ragan 氏は、この種の攻撃を次のように考えています。半分フィッシング、半分ソーシャルエンジニアリングというのは、海賊たちは自分たちのふりをすることで、配達人たちに彼らの希望通りに行動するようなんとか説得するからです。「[彼らに]何をすべきかを指示する上司または重要な人。」彼は、これらの詐欺には次のような特徴があると述べています。パンデミックが始まって以来重要性が高まっている「今年は犯罪者も含めて私たち全員が監禁されました。彼らは新型コロナウイルス感染症を利用するために戦略を変更した。パンデミックと宅配業者が標的にされているという事実の間には間違いなく関連性があります。」

配達員らは郵便配達員が何もしていないとして非難

ポストメイツで働く別の配達員、シャリース・グリーンさんはこう嘆く。アプリケーション側のアクションの欠如「そんな目も見えずに行かなければならないのは最悪だ、誰も助けてくれない。郵便配達員は予防策を提案したり、人々に警告したりして対応しなければなりません。」この意見は彼女だけではありません。他の配達員は、この種の詐欺の存在を早い段階で知らされなかったことを後悔しています。ウーバー子会社のコミュニケーションマネージャー、メーガン・キャサリー氏が語る「定期的なリマインダー」宅配業者に送付するとともに、宅配業者向けのヘルプ ページを開設します。これらは、このページを見たことがありません

サイバーセキュリティの専門家は、次のことを行うのがポストメイツの責任であると述べています。配達員に身を守る手段を提供する「何に気を付ければよいのか分からない新しい配達員が絶えずやって来ます。」プリンストン大学の研究者エリザベス・ワトキンス氏は言う。「プラットフォームは労働者に恩義があり、労働者が自分自身を守るためのツールを提供する必要があります。」

こちらもお読みください —コロナウイルス:Uber は現在、新型コロナウイルス感染症にさらされた人々のアカウントを一時停止しています

そしてメーガン・キャサリーは自分自身を弁護するためにこう言った。「Uber や Postmates ではこの種の事件は珍しいことではありませんが、当社では不正行為に関するすべての警告を非常に真剣に扱っています。 »宅配業者が要求するのは、より良い保護銀行情報に変更があった場合の転送時間の追加や、着信通話の識別子の作成など。ポストメイツはこう付け加えたと回想する。二要素認証システム。後者は数週間前に導入されたばかりです。

ソース :マークアップ