認証済みTwitterアカウントを乗っ取る手口
暗号資産(仮想通貨)業界の有名Twitterアカウントが複数乗っ取られ、フォロワーをフィッシング詐欺へと誘い込む事案が発生している。
30日付のThe blockによると、先週だけで90万ドル(約1億円)以上に相当する35点の高額NFT(非代替性トークン)が盗難被害に遭ったことが明らかになった。盗まれた35点のうち5点は「Bored Ape Yacht Club(BAYC)」、「Mutant Apes」、「Bored Ape Kennel Club」といった人気NFTコレクションと見られる。
ブロックチェーン分析会社Ellipticは、少なくとも9人のインフルエンサーが被害に遭ったと報告している。
フィッシング詐欺とは
偽リンクから利用者を騙し、偽のホームページに誘導して、認証情報やクレジットカード番号、口座情報(ユーザID、パスワード等)といった重要な個人情報を詐取するサイバー犯罪。
▶️仮想通貨用語集
BAYCの制作企業Yuga Labsは17日、BAYCとMutant ApeのNFT保有者向けに独自の仮想通貨「ApeCoin」をエアドロップ(無料配布)することを発表した。
攻撃者はこの機に認証済みTwitterアカウントを複数ハッキングして乗っ取り、ApeCoinの公式サイトを偽装したURLを拡散させたという。
被害者の中には5万人のフォロワーを抱える人気アカウントも含まれ、深く考えずにURLをクリックしたフォロワーも多いという。
Frick I feel like a newb, just got scammed out of 0.33 ETH. Do not trust these “verified” BAYC accounts. @Twitter @verified wtf????? pic.twitter.com/9G1W0pn6TU
— RMB.S◎L (@rmaxb96) March 31, 2022
関連:OpenSea、フィッシング詐欺で3億円相当のNFTが不正流出か
このURLをクリックすると、ApeCoinのエアドロップに参加できるかのように見せかけた巧妙な「Claim(申請)」コントラクトが立ち上がる。さらに、該当するNFTを保有していないユーザーでも0.33ETH(約12万円)を支払うことでエアドロップに参加できると騙した。
結果、これらのコントラクトを介して投資家のウォレットが侵害され、保有していた高額NFTが抜き取られている。
NFT事業会社Gutter Barsの共同設立者Aaron Cadena氏も被害者の一人だ。同氏はすぐ異変に気づきブラウザを強制終了したにもかかわらず、NFTコレクション「Gutter Cats」2点を奪われたという。
キャンセルをクリックした後、(ウォレットとの接続を促す)コマンドプロンプトが何度も表示された。数回キャンセルをクリックした後に異変に気付き、サイトを離れようとしたが画面がロックされていた。
これまでにも、高額NFTを標的にしたフィッシング攻撃は度々起きている。大手NFTマーケットプレイスのOpenSeaは2月、同サイトのユーザーを対象としたフィッシング詐欺が発生したと発表。
計32のユーザーアカウントから総額3億円以上(300万ドル)相当のNFTが不正流出した疑いがある。大手暗号資産取引所バイナンスのChangpeng Zhao氏は、2月初め、SMS(ショートメッセージサービス)を悪用したフィッシング詐欺に注意するよう呼びかけていた。
関連:バイナンスのCZ氏、SMSを悪用したフィッシング詐欺に注意喚起
