まずは用心することが肝心
最近では電話を介した手口も報告例あり
フィッシング詐欺の見分け方は、とにかく用心することが第一だ。すぐにアクセスしないといけないと思わせるように、危険性を強くアピールしたり、至急の対応をうながす文面が使われたりすることも多い。
そのため、あわてて行動するのではなく、メールで送られてきたならメールアドレスは正規のものか、サイトにアクセスをうながされたのならウェブアドレスが正規のものであるか、しっかりと確認したい。
一昔前のフィッシング詐欺は、日本語が不自然であやしいものが多かった。しかし、近年では、文面に違和感のないケースが多いばかりでなく、誘導先のサイトもロゴや文言などを本物そっくりにしてあることが少なくない。公式だと思いこみやすくなっているため、より注意する必要がある。
変わったところでは、電話を介して金融機関になりすますフィッシング詐欺の報告もある。2018年、韓国で起きた例を紹介しよう。
まず、悪意ある攻撃者が、ローンの借り換えなどに関するオファーをよそおい、ターゲットとなる人に問題あるアプリをダウンロードするようにうながす。言われた通りにアプリをダウンロードしてから金融機関に電話をかけると、その電話が傍受され、攻撃者に接続されてしまうという仕組みだ。
このようなフィッシング詐欺に対しては、アプリをダウンロードする場合に公式のアプリストアを使うよう心がける、発信者番号通知サービスを利用するなどが対策として挙げられる。しかし、そもそも、あまりにも得をするような“おいしい”話は警戒してしかるべきだろう。
また、セキュリティ ソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護するのももちろん重要だ。
フィッシング詐欺についての知識を深めるために、今回はMcAfee Blogの記事「有効な電話番号から新たなボイスフィッシング攻撃を仕掛けるアプリに注意」をチェックしてほしい。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
有効な電話番号から新たなボイスフィッシング攻撃を
仕掛けるアプリに注意:McAfee Blog
デジタル機器の使用やインターネットに何等かのデバイスから接続することが日常的である今、平均的なユーザーでも、サイバー犯罪者が個人データや金銭を入手するために使用する手法や手段をある程度は把握しているでしょう。この知識により私たちは、よりスマートになりサイバー犯罪取引の手口に敏感になっていますが、サイバー犯罪者もより賢くなっており、そのため彼らの攻撃はより複雑になっています。
たとえば、フィッシングについて見てみましょう。フィッシング攻撃は、単純で一般的なものから複雑でパーソナライズされたものへと劇的に変化しています。かつては電子メールやWebサイトを偽装していたものが、より偽装的なもの、つまり、Vishing*やボイスフィッシングに発展しました。この方法は、電話を介して金融機関になりすますことにより、被害者の個人情報または金融情報へのアクセスを試みるサイバー犯罪者を含みます。そして今、新たなフィッシング攻撃は、典型的なフィッシング詐欺よりも検出が困難であることが証明されています。
より高度なフィッシング攻撃
2018年4月、韓国金融安全保障研究所と高麗大学のマネージャーであるMin-Chang Jangは、正当な番号からユーザーへの通話を傍受するように設計された悪意のあるアプリについて調査を行いました。この戦術は、従来のボイスフィッシング攻撃に、新たな、そして厄介なひねりを加えたものです。この攻撃手法は、ハッカーはまず偽のアプリをダウンロードするようにユーザーに説得する必要があります。これを行うには、リンクが被害者に送信され、ローンの借り換えなどに関する素晴らしいオファーが表示され、ユーザーに問題あるアプリをダウンロードするように促します。ターゲットが餌に釣られた場合、可能なローンの借り換えのオファーに関する電話が金融機関から入ってきます。しかし、その呼びかけは実際の金融会社とは関係がなく、むしろ傍受する悪役と関係があるのです。
私たちが身の回りの世界に適応し、安全を護ることについて賢くなるにつれて、サイバー犯罪者もより巧妙な方法で攻撃してくるだろうということを私たちは知っています。今日は高度なフィッシング攻撃ですが、明日は別の種類になる可能性があります。ユーザーがあらゆるサイバー攻撃を阻止し安全な状態でいられるように、絶え間なく取り組んでいるマカフィーのようなセキュリティ企業が必要なのです。このボイスフィッシング攻撃を検出するのは難しいことではありますが、サイバー犯罪者の犠牲にならないようにするための予防策をいくつかお伝えします。
アプリは公式のソースからのみインストール
悪意のあるアプリがあなたのデータを搾取しないように、認可されたベンダーからのアプリのみをダウンロードしてください。Androidユーザーの場合は、Google Playストアを、iPhoneユーザーの場合は、Apple App Storeを使用してください。サードパーティのアプリを信頼しないでください。
発信者番号通知サービスを利用
現在、多数の通信事業者が、詐欺電話の可能性をユーザーに通知する無料サービスを提供しています。また、多くの電話機には、通話が本物かどうかをすばやく診断するための通話識別機能が付いています。この機能を使用すると、ユーザーは詐欺電話をデータベースに報告することもできます。
内容をよく確認
暮らしのヒントや便利なアプリに加え、常識とは思えないようなあまりにも良過ぎる特典やお得な価格が提案された場合、悪意ある詐欺の可能性が高いと考えられます。提供元を検索したり、ドメインなどをよく確認して怪しいようであれば無視してください。
*従来の電話システム、または、インターネット電話(VoIP)を悪用し、自動メッセージを流して実行するフィッシング攻撃のこと
※本ページの内容は、2019年3月12日(US時間)更新の以下のMcAfee Blogの内容です。
原文:You Rang? New Voice Phishing Attack Tricks Unsuspecting Users
著者:Radhika Sarang
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
