その宅配便の不在通知、本物ですか?
正規のサービスなどをよそおったメールで、ニセのサイトに誘導させ、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出す「フィッシング詐欺」の被害が後をたたない。
最近は、スマートフォンを対象にしたものが多い。スマートフォンをだれもが持っている今日においては、SMS機能などに目を付けた手口が増えてきている。
とくに、国内外を問わず、宅配便の不在通知を装いフィッシングサイトへ誘導するSMSの被害が増えている。
たとえば、「お荷物のお届けにあがりましたが不在の為持ち帰りました。ご確認ください。」といった文面で、リンクが張られている。ここにアクセスすると、フィッシングサイトや、不正なアプリのインストールに誘導されてしまう(例:フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] 宅配便の不在通知を装うフィッシング)。
スマートフォンでは、ウェブサイトを閲覧中に「あなたが当選しました」といった虚偽のメッセージなどを表示し、景品を受け取るためと称してクレジットカード番号をだまし取るようなパターンもある。この際も、「時間内に受付を完了しないと手に入らない」と焦らせることが多い。
宅配便の不在通知となれば、「早く手続きをしないと、運送会社にも迷惑がかかってしまう」と思うかもしれない。しかし、そうやって判断を急がせ、あやしいところに気づかせないことが、まさに犯罪者の狙いなのだ。
とにかく確認するのが大事
このようなSMSを受信した場合は、どうしたらいいだろうか。リンクは開かずに無視し、SMSも削除する。万一サイトを開いてしまった場合は、個人情報やパスワードなどは絶対に入力しないこと。
とにかく、焦って入力することなく、しっかり確認することが大事だ。メールで送られてきたならメールアドレスは正規のものかをよくチェックしておこう。また、サイトにアクセスをうながされた場合、ウェブアドレスが正規のものであるかに注意したい。
疑わしいメールに関しては、公式サイトのヘルプデスクなどから問い合わせて確認してみるのも有効だ。また、よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザのブックマークなどからのアクセスを心がけよう。
フィッシングの手口として、不正なアプリをインストールさせようとするものもある。公式のアプリストアを利用する(非公式のアプリマーケットは利用を控える)のは鉄則だ。無意味なアプリ名称、詳しくないアプリ説明、ユーザーレビューがない……など、アプリがあやしく思えたなら、ダウンロードを控えたほうがよいだろう。
不審に思った場合や、トラブルにあった場合は、最寄りの消費生活センターなどに相談するのも手だ。
今回は、セキュリティへのリテラシーを高めるため、McAfee Blogの「SMSで届く詐欺『スミッシング』に遭わないための3つのポイント」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
SMSで届く詐欺「スミッシング」に遭わないための3つのポイント:McAfee Blog
Statistaによると、2020年末までに世界中で35億人がスマホを所有することが予測されています。これらの接続されたデバイスにより、豊富なアプリや情報を常に手元に置くことができます。これにより、愛する人と常に連絡を取り合い、すばやく買い物し、フィットネスの進捗状況を記録したり、ゲームを楽しんだりすることができます。一方でハッカーたちは、私たちのスマホへの依存を熟知しており、それをステルストリックで悪用しようとしています。
これらのトリックの最近の例として、USPS(アメリカ合衆国郵便公社)から発信されたとされる不審なテキストメッセージがあります。Gizmodoによると、最近のSMSフィッシング詐欺では、USPS名と不正な追跡コードを使用して、ユーザーをだまして悪意のあるリンクをクリックさせています。
このスキームの詳細、ユーザーにとっての意味、SMSフィッシングから身を守るためにできることについて詳しく見ていきましょう。
特別配達? 不審なテキストメッセージ
このフィッシングスキームでは、ハッカーはUSPS、FedEx、または別の配信サービスを利用した配達について、緊急の注意が必要な輸送の問題が発生しているという内容のテキストメッセージを送信します。ユーザーがテキスト内のリンクをクリックすると、リンクはフォーム入力ページに移動し、個人情報と財務情報を入力して「購入品の配達を確認」するよう求めます。フォームに入力し送信されると、ハッカーはその情報を悪用して金銭的利益を得る可能性があります。
詐欺師はさらにこのフィッシングスキームを使用して、ユーザーのデバイスをマルウェアに感染させます。たとえば、一部のユーザーは、想定されるUSPS貨物へのアクセスを提供するというリンクを含むメッセ―ジを受け取り、ブラウザや電話をマルウェアに感染させるドメインに誘導されました。これにより、ユーザーはスマホや個人データを危険にさらす状況に置かれてしまいます。
配達詐欺に遭わないために
配達アラートは荷物を追跡するのに便利な方法ですが、特にホリデーショッピングシーズンに近づくこれからの時期は悪用される可能性が高いため、フィッシング詐欺の兆候に慣れることが重要です。そうすることで、スマホの利便性を犠牲にすることなく、オンラインセキュリティーを保持できます。それを行なうには、次のような実用的な手順に従い、デバイスとデータをスミッシングスキームから保護しましょう。
1. ソースを直接確認
奇妙な質問や真実だとしたら良すぎると思われる情報を含む有名企業からのテキストメッセージには懐疑的になりましょう。テキスト内のリンクをクリックする代わりに、組織のウェブサイトに直接アクセスして、配信ステータスを確認するか、カスタマーサービスにお問い合わせください。
2. 特定のテキストをブロックするモバイルデバイスの機能を有効化
多くのスパマーは、身元を隠すためにインターネットサービスからテキストを送信します。これは、インターネットまたは不明なユーザーから送信されたテキストをブロックするモバイルデバイスの機能を使用して対処します。たとえば、Androidデバイスのメッセージアプリからすべての潜在的なスパムメッセージを無効にするには、[設定]に移動し、[スパム保護]をクリックして、[スパム保護を有効にする]をオンにします。
3. モバイルセキュリティーソフトウェアを使用
あらゆる脅威に対応するためにモバイルデバイスを準備します。そのためには、McAfee Mobile Security(Android版、iOS版)などのモバイルセキュリティーソリューションを使用して、これらのデバイスを追加の保護層でカバーすることをお勧めします。
最新情報を入手
日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティーの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Secをフォローし、ポッドキャストHackableをお聞きください。
※本ページの内容は2020年9月21日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Special Delivery: Don’t Fall for the USPS SMiShing Scam
著者:Pravat Lall
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
