どうも、アンパパです!
最近、家のメールボックスが迷惑メールだらけで困っています。なかには、いわゆるフィッシング詐欺メールも1日1通は送られてきてうんざりです。
アンパパは、システムエンジニアで、セキュリティ対策の部門にもいたこともありますが、そんな私でも時々フィッシング詐欺メールに騙されそうになります。
おそらくパソコン始めたばかりの学生や、老後急にスマホを使い出したおじいさん、おばあさんとかだったら、容易に騙されてしまうと思います。
今回は、できるだけ周りの人がそんな詐欺に騙されてほしくないと思い、記事を書きたいと思います。
フィッシング詐欺とは
そもそもフィッシング詐欺とは何でしょうか?
wikipediaでは、こう説明されています。
フィッシング(英: phishing)とは、インターネットのユーザから経済的価値がある情報(例:ユーザ名、パスワード、クレジットカード情報)を奪うために行われる詐欺行為である。典型的には、とにかく信頼されている主体になりすましたEメールによって偽のWebサーバに誘導することによって行われる。
インターネット上で様々なサービスが提供されるにつれ、年々増加と高度化の傾向が顕著である。
wikipedia
文字だけですと少し分かりづらいかと思いますので、アンパパが最近受け取ったフィッシング詐欺メールをお見せしたいと思います。
こんな感じで、Amazonを偽装したメールですね。よくこのようなメールが来る人は、「はいはい、無視無視」と思うと思いますが、もし始めてこのメールを受け取ったのであれば焦りますよね。
もしこのメールの「確認用アカウント」ボタンを押してしまうと、Amazonの偽画面が表示されログインID・パスワードを入力する画面になります。ここでログインID・パスワードを入力してしまうと、悪意のある攻撃者にその情報が渡ってしまいます。
そうすると、その攻撃者が正規のamazonのサイトに入手したログインID・パスワードでログインし、不正に買い物をされてしまうわけです。
これが、フィッシング詐欺の一つの例です。
ITに強い私でも騙されそうになる
恥ずかしながら、IT系には強いアンパパでも騙されそうになりました。
さきほど紹介したメールは、あきらかに文言がおかしいですよね。
「あなたのアカウントは永久ロック」
さすがにAmazonはそんなフランクなことをいうはずがありません。一発で怪しいと思いますよね。
メール送信元をみたら、「noreply@youtube.com」になっていました(笑) 内容がAmazonなのに、送信がyoutubeってどんなコラボなんでしょう。
さて、続いてアンパパが騙されそうになったフィッシング詐欺メールはこちらです。
2年くらい前にもらったメールですが、Amazonプライムの会員資格更新のメールです。
どうですか?本文には怪しいところがないですよね。
ちょうど、アンパパが、Amazonプライムを始めて1年くらいたつタイミングと重なったため、危なくひっかかるところでした。もし、このメールに従ってクレジットカード情報を入力していたら、その情報が攻撃者にわたるところでしたね(汗)
アンパパは、「緊急の通知」というタイトルで、「ん?」となりました。フィッシング詐欺は「緊急」とか、ユーザを焦らす言葉を多用する傾向があるので、そこでおかしいと気づきました。
年々増加するフィッシング詐欺
このようなフィッシング詐欺メールは、だいぶ浸透しているので、騙される人は年々減ってきているのかなと思っていましたが、そんなことはなかったです。
フィッシング対策協議会のレポートを見て下さい。2019/10の最新レポートはこのようになっています。
どうですか?
全然落ち着いていないですよね。むしろ急増しています。
まだまだあの手この手で、どんどん詐欺の手口も高度になっています。どんなに気をつけていても、ひっかかってしまう可能性はありますね。
フィッシング詐欺の最新のトレンド
さて、どんどん高度になってきているフィッシング詐欺ですが、
最近こんなニュースがありました。
その名も「2段階認証突破型フィッシング詐欺」。パワーワードですね。
二段階認証とは、ログインIDとパスワードを入力した後に、SMS等で本人に4桁の番号を送信し、その番号を入力することによってようやくログインできるといったものです。
7Payの時にも話題になったので、記憶に新しいかと思います。
攻撃者は、本人に送られる4桁の番号はわからないはずなのに、どうやってログインできるのでしょうか。
その手口はこちらです。
①攻撃者が、銀行を語ってSMS送信。
②アンパパが、そのメールに記載されている偽サイトにアクセスしログインID、パスワードを入力。その後、4桁の番号を入力する偽画面が表示される。
③攻撃者が、そのIDとパスワードで、正規の銀行のサイトにアクセス。
④正規の銀行から、4桁の番号がアンパパに送信される。
⑤アンパパが、その4桁の番号を偽画面に入力。
⑥攻撃者が、正規の銀行サイトで、受け取った4桁の番号を入力。
⑦攻撃者が、ログイン成功!不正送金など、やりたい放題!
⑧アンパパ泣く
攻撃者は次から次へのアイデアが思いつくものですね。
フィシング対策協議会のサイトでも、最近のトレンドが紹介されています。
これによると、最近PayPayを語るフィッシング詐欺メールも出回っているようです。みなさん警戒しましょう。
フィッシング詐欺の対策
フィッシング詐欺被害にあわないように、どのようなことに注意したらいいかまとめてみました。
企業から送られてくるメールを一回は疑う
企業から送られてくるメールは、どんなに正しそうでも一回は疑いましょう。
「プライム会員のクレジットカードの有効期限が切れました。クレカ画面で登録して下さい」
あ、そうなんだと思って、メールのURLからクレカ画面を登録しないでくださいね。フィッシング詐欺かもしれませんよ。
「ポイントキャンペーンに当選しました。ログインしてポイントを確認しましょう」
嬉しい!と思って、メールのURLからログイン画面に遷移して、ログインIDとパスワードを入力しないでくださいね。盗まれてしまうかもしれませんよ。
「商品を注文しました。キャンセルする場合はこちら。」
身に覚えのない注文履歴を送信して、キャンセルを促すフィッシング詐欺もあるそうです。キャンセルボタンを押すと、個人情報を入力する画面が表示され、入力してしまうと個人情報が盗まれてしまいます。
どうですか?うっかり気が緩んでいると、騙されてしまいそうではないですか?常に企業からのメールは1回は疑う癖をつけましょう。
とにかく、メール中のURLは踏まない
メールを疑った上で、問題なさそうでも、メール中のURLはクリックしないようにしましょう!
ほぼ全てのフィッシング詐欺の入り口は、メールやSMSのURLからです。
ここをクリックしてしまうと、正規のサイトとうりふたつの偽画面が表示されて、疑いもなく個人情報を入力してしまいます。
必ず、メールのURLをクリックせずに、Google検索で本家サイトを検索するか、ブラウザのお気に入りから遷移する癖をつけましょう。
ちなみに余談ですが、Amazonでは、Amazonからメール送信された内容を、サイトから確認できます。
アカウントサービスの「メッセージセンター」をクリックすると、Amazonから送られてくるメールが確認できます。
もし、メールが来たけど、このメッセージセンターにない場合は、攻撃者からのメールの可能性があります。
情報を周りの人に共有しよう!
IT系の人や、長年ネットをいじっていた人は、このようなフィッシング詐欺のメールはよく送られてくるので、大丈夫かと思います。
しかし、スマホを最近始めたおじいちゃんの場合、おそらく来たメールをそのまま信じて、フィッシング詐欺に騙されてしまう可能性があります。
できるだけ多くの人が被害に合わないように、このようの詐欺の情報などは周りに共有するようにしましょう。
私も、両親に会った時は、必ず最近の詐欺のニュースなどを共有するようにしています。
両親には「また、その話か〜」なんて言われてしまっていますが、事件に巻き込まれて、大変な思いになるよりはマシです。
皆さんも、両親にこのような話をすることはオススメします!
カード明細などは毎月確認しよう
あとは、どんなに気をつけても、うっかりひっかかってしまう可能性はあります。
最近は、フィッシング詐欺以外にも、そもそも正規のサイトが攻撃者によって改ざんされるといったニュースも目にします。
そうなってしまうと、いつどこでクレジットカード情報が盗まれているかわからない状態です。
その対策としては、カード明細は毎月確認することです。
早めに気づけば被害を最小限にできるし、カード会社や決済事業者に連絡することによって、被害額が戻ってくるケースもあるそうです。
ちょっと昔は、クレカ情報流出するのは、管理が甘かった個人が悪いといったような風潮がありましたが、7PayやPayPayのニュースを見てると、個人というよりは対策していない企業が悪いといった風潮に変わってきているようですね。
まとめ
今回は、ちょっと真面目にフィッシング詐欺について書きました。
先程記事にも書きましたが、フィッシング詐欺はまだまだ増加しています。誰かが騙されてしまうと、さらに詐欺集団に活気がついてしまいます。
できる限り、両親や友達、Twitterのフォロワーにこのような情報を共有し、フィッシング詐欺にあう人が減ってくれたら幸いです。
それでは、また! アンパパでした。
