Previous  Index  Next





2024 年 8 月 31 日




anchor

通知センターが1分おきに「ウイルス感染」を通知する〜Safari乗っ取られた?ブラクラ?

久しぶりにちょっとヒヤッとする思いをしたのでメモしとく。

ちょっと遊び半分で中華のサイトをいろいろ冷やかしていたら、McAfeeを自称するセキュリティサイトに飛ばされて
「違法なサイトにアクセスしたのでウイルスに感染した可能性がある。スキャンを実行する」
というようなポップアップ付きのページにSafariが飛ばされた。

これ自体はよくある手口で当然McAfeeのマークはついているが、McAfeeとはなんの関係もないサイトで実行ボタンなんかクリックするとなんかもらっちゃうという類のサイトなので当然何もクリックせずにページを閉じる。

そこまでは中華サイトではよくある日常風景なのだが、それ以降通知センターのポップアップが
「ウイルスを13個検知した。ウイルスを除去する」
というポップアップを1分ごとに表示し始め、Safariを終了しても、OSを再起動しても関係なしに1分おきに警告を出すようになってしまった。

何がこの警告を出しているのか調べたがSafariが出しているので、何かキャッシュが悪さしているのか悪質なクッキー食らったかか…と思いキャッシュもクリーンアップ。

それでも止まらないのでこのポップアップを出しているプロセスを追いかけたが見つからない。

「やばい、なにかブラクラ食らったかな…」
とここで初めて冷や汗が出てきた。


結論から言うと、何か食らったわけではなくmacOSの弱点というか通知センターの死角を狙った手口でウイルスかランサムウエアをかまそうとされていたということらしい。

詳細はキャプチャー





例によって遊び半分で怪しげな中華サイトを漁ってたらこんなポップアップが…
McAfeeが「ウイルスの感染の可能性を警告」してるんだそうだ
McAfeeなんかインストールしてないし中華のよくある手口なので
「はい、はい、ウイルスね」と何もクリックしないでページを閉じた
ここまでは「中華サイトあるある」ネタでしかない




ところがそれ以降通知センター「13個のウイルスが検出された」
ポップアップを出し続けてSafariを終了しようがOSを再起動をしようが
ポップアップが止まらなくなってしまった




通知センターをクリックするとSafariが立ち上がってちょっとデザインが
違うMcAfeeのサイトに繋がって「ウイルススキャンを実行」を繰り返し求めてくる




Safariのキャッシュに何か食らわされてそれが繰り返し
何か実行しているエクスプロイトみたいなものがあるのか探してみたが何も見つからない
キャッシュをクリアしても何かのプロセスがこの~/Library/Caches/com.apple.Safari/の中に
RemoteNotificationsというフォルダを繰り返し自動生成しそのタイミングで通知が表示される
これがSafariを落としてもOSを再起動しても止まらない…
ここでちょっと冷や汗が出た…何かつかまされたかもしれないがその正体がわからない…




ただこのRemoteNotificationsというフォルダ名がヒントになった
通知センターSafari本体とは別に二つのSafariアイコンの通知設定が増えている
この二つの通知を許可した覚えなんか全くないがなぜか許可したことになっている
これを不許可にすればポップアップは止まるが例のRemoteNotificationsフォルダ
勝手に生成される動きはやはり止まらないのでまだ「ウイルス」は生きている




Remote Notificationsについて調べていたらSafariの設定について
記述しているサイトを見かけたのでこれがヒントになった
Safariの設定の「Webサイト」の項目の通知に入ると
これまた二つのリモート通知を許可した覚えがないのに許可したことになっている




これをプルダウンで拒否にすると例のRemoteNotificationsフォルダは勝手に生成されなくなった
このSafariの遠隔通知設定がダダ漏れになっていてこれが
環境設定のセキュリティホールになっている感じだった




過去の履歴を見ると全ての遠隔通知リクエストを「拒否」しているので
基本的に私には要らない機能なのかもしれない
要らないならここのチェックを外して全ての通知リクエストを
一律拒否する設定にしてもいいかもしれない



macOSのバージョンをSierraからSonomaに一足飛びに上げたので、OSの機能や構造的にあまり理解していない部分もまだある。

Macのシステム環境設定のメニュー構成が大幅に変更されて非常にわかりにくい、直観的でない構成になっていることも原因している。

なんで通知センターの許可設定がシステム環境設定とSafari両方にまたがっているのか…こういうところにAppleの衰退を感じる。

「Macはウイルスに感染しない」
とか、たかを括っている場合じゃない。

これはMacの通知センターに狙いを定めているので、明確にMacユーザーをカモにしてやろうという狙いのサイトだ。

うかつに「実行」をクリックすればウイルス入りの偽ウイルススキャンソフトをつかまされて、そいつがランサムウエアなんか咥え込んでいたら目も当てられない。



2024 年 8 月 20 日




anchor

住友VISAの偽装フィッシングメールについに引っかかる…このメールで通知をいい加減やめませんか?銀行さん?

つい先日のこと…

住友VISAカードから「カードお支払い日の通知」メールが来た。

それで何の気なしにクリックしたところVPassのログインページが表示されたが、パスワードの自動入力のポップアップ(私の場合は指紋認証のポップアップだが)が出てこないので
「あれ?」
と思ってよくみたら中華のドメインのフィッシングサイトだった。

いつもならこんな手口に引っかからないのだが、今回はこのメールが来る直前に実家の自治体からお墓の管理費引き落としの通知ハガキが来た直後だったので、しかも引き落としの日も一致していたし思わずクリックしてしまった…不覚!……

もうこの手のフィッシングメール見た目では完全に区別できないし、見分けるコツがあって絶対に引っかからない自信はあったのだけど今回のような実際にその日に引き落としの予定があるとかの偶然が重なるといくら警戒していても引っかかるという、自戒も込めた教訓。

最近Twitterで反ワク叩きの人がフィッシングに引っかかったと呟いたところ、反ワク連中が大喜びで一斉に「情弱!情弱!」とか囃し立てているのを見て理性ある人でも引っかかる時は引っかかるんだなという事例を見たばっかりだった。

フィッシングに引っかかった人を馬鹿にしている連中も引っかからないとは限らんぜw





ある日来たのはこんなメール
体裁上は特に破綻のない住友VISAの引き落とし通知
本来の引き落とし日ではないが直前に実家の霊園から
「お墓の管理料をこの日に住友から引き落とすよ」
というハガキを受け取ったばかりだったのでついクリックしてしまった




リンクから飛んだサイトも指紋認証を催促してこないし何かおかしいと思って
Macからこのメールを確認したら差出人メールアドレスもリンク先支払いページのURLも
どっちも.cnドメイン…つまり中華Webだった
リンク踏むようなチョンボはしない人だと思っていたのにヤラレタなあ…




ちなみにこちらは本物の住友VISAからの引き落とし日通知メール
先日も銀行からフィッシングメールと本物のメールの見分け方
みたいな案内メールも来てたが見た目で峻別するのは絶対に無理
リンクのドメインを確認する以外に確実な方法はないのだが
それ以前に銀行さんこの確認メールを送るのそろそろやめません?
こういうことやってるから皆引っかかるんですよ?














Previous  Index  Next



site statistics