二段階認証の方法として「SMS認証」が使われるようになって久しい。本人確認のためのる仕組みであるにも関わらず、これを有料で代行する業者が増加しているという。しかし、SMS認証が本来の意味を喪失しかねないとして、警察庁が取り締まりなどの対策を強化する方針を決めた模様（時事ドットコム、産経新聞、日経新聞）。

こうした代行業者はユーザーの代わりに自分の端末の電話番号を伝えて手続きし、一手間かかる認証コードの入力を受け持つ。依頼者は入力の手間がなくなるほか、携帯電話がなくても匿名のままサービスを利用できるというメリットがある。

しかし、多くの場合は通話アプリを特殊詐欺に、電子決済アプリをマネーローンダリングに使用するなどの犯罪目的で悪用されているとのこと。トラブルが起きても利用者本人と登録名義が異なることから、警察の追跡が困難であるためだという。代行業者自体が仕組みを悪用して摘発された例も出ている。昨年、PayPayの認証コードを他人に提供し、認証代行を行った家族が埼玉県警に逮捕されている。

headless 曰く、

Microsoft Storeなどの偽ページを通じた情報窃取キャンペーンが確認されたとしてESETが注意喚起している(BleepingComputerの記事、 SlashGearの記事、 Windows Centralの記事、 ESET researchのツイート)。

ESETによれば情報窃取キャンペーンは南米のユーザーをターゲットにしたもので、「cdnserverhostingdomainname[.]site」というドメインでホストされている。攻撃用ページはMicrosoft Storeのほか、SpotifyとオンラインPDFコンバーター「FreePDFConvert」の偽物が確認されているという。直接たどり着くことはなさそうな偽ページだが、BleepingComputerによれば広告を通じて誘導する仕組みのようだ。

Microsoft Storeの偽ページは本物そっくりに作られているが、「Get」ボタンは「Download Free」ボタンに置き換えられており、クリックするとマルウェア「Ficker」を含むZIPファイルがダウンロードされる。偽Spotifyや偽FreePDFConvertも同様だ。ダウンロードしたZIPファイルを展開してできる実行ファイルを実行すると、アプリや変換結果のPDFファイルが表示される代わりにマルウェアが活動を開始する。

Fickerは1月にロシア語のハッカーフォーラムでレンタル用として公開されたもので、開発者はWebブラウザーなどが保存した認証情報や暗号通貨ワレット、文書ファイルを盗み出すほか、実行中アプリのスクリーンショット撮影も可能だと説明しているとのことだ。