キヤノンMJ/サイバーセキュリティ情報局
Facebookで頻発する詐欺の手法を紹介
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「Facebookでよくある詐欺と、それらを回避する方法」を再編集したものです。
あなたがFacebookを利用しているように、詐欺師もまたFacebookを利用している。本記事では、Facebook上でよく見られる、注意すべき詐欺の手法と、それを見分ける方法について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
ここ数年、多数のソーシャルメディア・プラットフォームが生まれたが、中でもFacebookは高い人気を保ち続けている。同社が公開した収益報告書によると、Facebookは28億5000万人の月間アクティブユーザーを有する。当然ながら、ユーザーから金銭を詐取しようとする詐欺師たちにも目をつけられている。Facebookは、詐欺師がユーザーに近づくのを防ぐために複数の対策を講じてきたが、詐欺師たちにすり抜けられてしまうこともあるのが実情だ。
以下では、詐欺師がFacebookユーザーを騙して個人情報と金銭を詐取しようとする際の、よくある手口について解説する。
フィッシング詐欺
フィッシング詐欺は、あらゆる詐欺手法の起源とも言うべきものだ。インターネットの世界では古くから存在しており、サイバー犯罪者が継続的に利用している常套手段だ。目的は個人情報の詐取であり、なりすましやダークウェブ上でのデータ販売に至るまで、さまざまな犯罪行為に悪用される。
フィッシング詐欺を行なうため、サイバー犯罪者はFacebookになりすまして標的に接触を図る。「誰かがあなたのアカウントにログインしたかもしれない」、あるいは「パスワードがリセットされた」などと危機感を煽り、ログインページへ誘導する。そのリンクは偽のFacebookログインページにつながっており、入力された認証情報を悪用して、詐欺師は被害者のアカウントへアクセスする。
フィッシング詐欺かどうかを見極めるための、いくつかのポイントがある。例えば、Eメールの文面がパーソナライズされておらず、誰にでも通じる挨拶や標的(自分自身)のEメールアドレスで始まっている。あるいは、Eメールの送り主が非表示になっていたり、Facebookの公式Eメールを使っていなかったりする場合だ。
自身のアカウントを開き、パスワードのリセットを依頼すると、サポートメールの正式なアドレスが確認できるだろう。Facebookからの公式メールを受け取ったら、送信元フィールドを見てみるとよい。ユーザーに連絡するのにFacebookが使っているEメールがわかる。また、もうひとつの明らかに疑わしい傾向として、Eメールにスペルミスが含まれている点が挙げられる。フィッシング詐欺を見分けるクイズの記事も参照し、詐欺を見抜く力を向上させてほしい。
融資保証金詐欺
この手の詐欺は大手ソーシャルメディアでよく見られるもので、見分けるのも容易だ。とても低い利率で、すぐに融資が受けられるという投稿を詐欺師が公開するのが一般的である。ターゲットから少額の前受け金を巻き上げるのが詐欺師の狙いだ。
これらの投稿は、信用を得られるようなフレーズを含んでいることが多い。貸し主は多くの顧客に多額の貸し付けを行なってきた実績があり、高い満足度を得てきた成功者であるといった具合だ。しかし、詐欺手口の特徴として見られるもののひとつが、文法や構文の間違いが複数含まれた片言の英語である点だ。それ以外にも、被害者を説得するために記載された、詐欺師の主張が証明しにくいという点も見逃せない。
Please be warned there is NIGERIAN guy posing as a company on Facebook if your looking for a loan he is a scam he will take your money and keep on telling you to add more he is not a company,please be aware he's also on what'sup #RamaphosaMustFallpic.twitter.com/Kb5JzMedUr
— Molete11301918Tsolo (@molete11301918) February 8, 2021融資詐欺についての警告―Twitterより
Molete11301918Tsolo
融資を希望しているのなら、Facebook上で会社を装っているナイジェリア人のアカウントに注意してください。このアカウントは詐欺であり、あなたから金銭を詐取し、さらにお金を巻き上げようとしている。彼は融資会社ではない。WhatsAppでも詐欺を働こうとしているから注意してほしい。
この場合、最も賢い方法は、投稿を無視してFacebookに通報することだ。融資を受けたいのなら、ローンを提供している、信頼できる金融機関を探すのが望ましい。ソーシャルメディアで募集をかけている疑わしい詐欺師に騙されてはならない。
ドッペルゲンガー症候群
「ジム、身元詐称は笑い事じゃない!」というのは、ドラマ「The Office」に出てくるドワイト・シュルートのセリフだ。この詐欺の手口はシンプルで、サイバー犯罪者は標的になりすますため、ソーシャルメディアのアカウントをそのままコピーしてしまう。あるいは、知人や親戚になりすまして、標的に連絡を取ろうとしてくる。
この詐欺の狙いは、前受け金の詐取やトラブルから助け出すために送金するよう依頼するといったものだ。
また、フィッシング攻撃を仕掛ける場合もある。あるいは、面白いコンテンツに見せかけたリンクを送りつけておいて、実際はデバイスをマルウェアに感染させる方法もある。
Instagramのクローンアカウントによる攻撃とは?
https://eset-info.canon-its.jp/malware_info/special/detail/201014.html
Facebookの検索バーで自分の名前を入力すれば、自身のアカウントがコピーされているか確認できる。友人から連絡が来た際に、メッセージにおかしなところがあったときは、テキストメッセージや電話といった他の連絡手段を使って友人に確認すると良い。また、既にFacebook上で友達になっている人から友達リクエストが来た場合、詐欺の決定的な証拠となる。
偽のFacebookライブ
有名人が関係すると偽ったキャンペーンのライブ動画も詐欺の一種だ。詐欺を信じ込ませるため、少なくとも部分的には、本物の有名人の動画を使っている。実際の動画は、過去に有名人が収録したものだ。有名人のファンがキャンペーンに参加するよう、「最初に返答した●●人には、××ドルが当たる」といった表現を追加し、詐欺目的で動画を再編集している。
詐欺師は有名人になりすますため、公式のソーシャルメディア・アカウントをコピーし、偽のアカウントを作成する。しかし、名前にスペルミスを混ぜたり、「TV」などの文字列を付加したりしてから動画をシェアしている点が特徴だ。その偽アカウントへファンがコメントすると、詐欺師はターゲットへ直接連絡をとり、個人情報を聞き出したり、金銭を詐取しようとしたりする。悪意のあるウェブサイトへのリンクによって、これらの詐取が行なわれる。
Hey Ron, heads up been seeing this on Facebook. You’re the next celebrity being used in a fake live video scam. pic.twitter.com/ysBOmkydpd
— Michael Cranny 🇨🇦🇨🇦🇨🇦 (@andro656) December 22, 2020ライブ動画詐欺についての警告―Twitterより
Michael Cranny
ロン、Facebookでこれを見かけたので注意してほしい。あなたは偽のライブ動画詐欺に使われているかもしれない。
有名人が関わった、すべてのキャンペーンやイベントを避けろとまでは言わないが、注意は必要だ。Facebookのフィードに、これらのキャンペーンが表示された際には、まず、自身がその有名人をフォローしているか確認するべきだ。そして、実際にキャンペーンが実施されているかどうか、公式のソーシャルメディア・チャネルでチェックすると良い。そのライブ動画が無関係のグループやページに投稿されている場合、すぐに疑いの目を向けるべきだ。
プレゼント詐欺
プレゼント詐欺は、ライブ詐欺と概ね同じ流れだ。参加者側は少ない手間暇か、全く手間をかけることなく価値ある商品などを手にできると騙り、ユーザーを欺く。この手法では、たいてい偽のFacebookページやアカウントを作成する。特定の企業や有名人、音楽バンドなど、被害者が魅力を感じるものは何でも、なりすましの対象だ。そして、なりすました人物や組織に関するキャンペーンを展開する。
実際に行なわれたキャンペーンに倣って、次のステップに進むため、ユーザーは「いいね!」、「コメント」、「タグ付け」、「登録」、「シェア」をするよう促される。これらのステップが完了すると、ファーストクラスの航空券やコンサート・チケット、各種商品や他の魅力的な景品が当たるキャンペーンに登録されたと信じ込ませるのだ。
その後、個人情報を送る、アンケートを入力する、悪意のあるウェブサイトへ誘導させられる、あるいは、その他の手法で個人情報を入力するようなステップを踏むよう促される。しかし、多くの場合そうであるように、被害者は何も得られず、個人情報を詐取されるか、アンケート入力により詐欺師に金銭が渡るといった結果に終わる。
SCAM ALERT.
— Hard Times Clothing (@HardTimes_UK) May 13, 2021
There is a facebook page called "Hard Times-Clothing" attempting to scam our customers by saying they've been chosen for a giveaway. This is 100% fake.
Do not reply and do not click any link they send. Report the account. We're dealing with it as we speak. pic.twitter.com/uNeTahLJQrプレゼント詐欺についての警告―Twitterより
Hard Times Clothing
詐欺の警告
「Hard Times-Clothing」を名乗るFacebookページが、プレゼントに当選したといって私たちの顧客を騙そうとしています。これは完全に偽物です。
決して返信せず、送られてきたリンクをクリックしないでください。また、アカウントを通報してください。同時に、当社でも対応をとっています。
プレゼント詐欺を仕掛けられているかどうか、確認する方法はいくつかある。まず、プレゼントを送っているFacebookページが認証されているかを確認する。また、運営している組織の公式プロフィールやウェブサイトに行き、プレゼントキャンペーンが行なわれているかを確認する方法もある。キャンペーンを実施しているかどうか、直接連絡して聞くのもよい。文法やスペルの誤りもまた、詐欺であると明かしているようなものだ。
暗号資産に関する詐欺
暗号資産(仮想通貨)の普及が急激に進むなか、それに便乗した詐欺もまたインターネット上にあふれている。ビットコインやイーサリアムに関する詐欺を拡散させるため、イーロン・マスク氏の名前を騙ったり、Twitterアカウントがハッキングされたりしている。これらの詐欺の狙いは、これまでと同様で、個人情報を詐取する、暗号資産のウォレットへ不正にアクセスする、あるいは暗号資産を送金させるといったものだ。
これらの詐欺では通常、悪意のあるウェブサイトへ誘導させるリンクが送られてくる。偽のウェブサイトでは、個人情報や暗号資産ウォレットへのログイン情報を入力するよう促される。サイバー犯罪者がデータを手に入れた後は、なりすましに使われたり、ウォレットから暗号資産が引き出されたりするのだ。あるいは、暗号資産を使った投資詐欺を持ちかけられる場合もある。
また、暗号通貨のプレゼント詐欺では、ある暗号通貨アドレスに送金すると2倍にして返してもらえる、と伝えられるが、当然ながらそのようなことは起こらない。
Facebook scam please share guy! They just tried with me but they are messing with the wrong guy pic.twitter.com/Iy0LIVuUzc
— Theta york (@Darrenh98544128) May 27, 2021暗号資産詐欺についての警告―Twitterより
Theta York
このFacebook詐欺をシェアして!自分を騙そうとしかけてきたが、相手が悪かったね。
いかなる投資話であっても、すぐに投資が回収できたり、容易に高い利回りが約束されたりするものは、注意深く精査するべきだ。また、個人情報を渡すよう促してくる、いかなる提案には十分に注意しておく必要がある。
詐欺広告とショッピング詐欺
これら2つは、イチゴとミルクのように組み合わせて用いられるものだ。広告自体は標的を騙す最初のステップになる。広告をクリックすると、不自然なほど大幅に値引きされた商品を販売する偽のマーケットプレイスに誘導されるのだ。レイバンのサングラスのような高級品を提示したり、ブラック・フライデーやサイバー・マンデーといった季節的なイベントを中心に展開されることもある。
いずれの場合でも、偽のマーケットプレイスを通して商品を購入すると、最終的には残念な結果に終わる。偽造された販売サイトは、個人情報や決済データを収集し、なりすましやクレジットカードの不正請求に悪用される。
あるいは、実際に小包が届くかもしれないが、安価な模造品など、注文したものとは異なる商品が届く。この販売元に連絡すると、商品を返送すれば、注文したものを再送すると伝えられるかもしれない。しかし、配送料は注文の金額以上にかかってしまい、それが返金される保証もない。
誇大広告が用いられる場合、その被害者は消費者だけにとどまらない。本来の販売元のウェブサイトにある商品画像を使って宣伝をしながら、同一商品の模造品を配送されるケースがある。そして、商品のトラブルを本来の販売元に対応させるのだ。
Looking for a #fathersdaygift ? Beware of the SAW SCAM. Cindy @ https://t.co/1l2BarVblR makes these by hand from vintage old saws. China scammers stole photos of her art, even the text right off her website about her process. They will bait and switch you with a poor copy. pic.twitter.com/6fHC43KJ6k
— Facebook AD Scambusters (@FBScambusters) May 31, 2021ショッピング詐欺についての警告―Twitterより
Facebook AD Scambusters
父の日のプレゼントを探していますか?その際は、のこぎりアートの詐欺に気をつけてください。Thesawlady.comのシンディは、古いのこぎりから手作業でのこぎりアートを作っています。中国の詐欺師は、このアートの写真や、その製造工程についての説明さえも盗用しています。画像をおとりに使い、陳腐な模造品が送られてきます。
ここでできるアドバイスは、やはり、購入する販売元についてよく調べることだ。利用規約や配送、返品に関するポリシーを見てみよう。また、他の顧客がそのサービスをどう評価しているか、レビューを確認するのも良い。販売元が過剰に個人情報を要求してくる場合、そこから商品を購入するのは考え直すべきだ。
チャリティー詐欺
クラウドファンディングや寄付など、チャリティーを騙る詐欺はサイバー犯罪者が用いる常套手段として知られる。共感や助けを必要とする人を支援したいという気持ちにつけこみ、偽の慈善活動を作ったり、実際の活動になりすましたりする。直近の惨事を悪用する場合もあり、自然災害や事故など、寄付を促すような悲劇的なイベントを騙ってくる。
一方で、寄付を募る動機は年中あるのも事実だ。退役軍人の支援や、特定の病気に関連した活動、あるいは、気候変動への対策といったものが挙げられる。親身になってくれる人から金銭を詐取するよう、詐欺師はFacebookページやグループを作成し、さまざまな慈善活動に対し寄付を促す。さらに、センシティブな画像や衝撃的な動画を投稿し、寄付するよう感情に訴えるのだ。
EVERYONE PLEASE DO NOT GIVE TO THIS FUNDRAISER!!! The little girl in the picture is my good friend and SHE IS NOT IN THE HOSPITAL NOR WAS SHE IN A CAR ACCIDENT. This fundraiser is a scam. This is her mother on facebook right now. pic.twitter.com/ojPL8UIHuP
— 🧈ᴮᴱ Ari. BLM | ₇ ⟭⟬ ♡⟬⟭ ⁷ ⏻N:E (@ArianaDBurks) March 16, 2021チャリティー詐欺についての警告―Twitterより
Ari. BLM
この資金調達に協力しないでください。画像の中にいる少女は私の友人であり、入院してもいなければ、自動車事故にも遭っていません。この活動は詐欺です。彼女の母親がFacebookで今、投稿しています。
ソーシャルメディアで見かけた慈善活動に寄付する際には、いかなるものであってもよく調べるべきだ。検索エンジンで調べてみて、どんな情報が出てくるかを見てみるとよい。本物の慈善活動は通常、きちんと登録されているものだ。個人情報や決済情報を要求する慈善活動には注意する必要がある。現金での支払い、送金、ギフトカードでの支払いを要求してくるものは、すぐに警戒しなければならない。寄付をしたいときは、本物の慈善活動や基金の公式ウェブサイトを通すべきだ。どのような活動が行なわれ、正式な寄付のチャネルを検証するようにしてほしい。
偽の警告
通常のユーザーに加え、サイバー犯罪者はFacebookページを介して企業やブランドも標的にしてくる。この手法は比較的単純だ。Facebookのサポート担当者になりすましてページの所有者に連絡し、コンテンツポリシーに違反し、著作権を侵害していると主張してくる。
このメッセージには正式なものに見せかけたFacebookサポートへのリンクが含まれている。そして、24~48時間以内に回答しなければ、そのページやアカウントは停止させられると伝えられる。しかし、これらすべては精巧に練られた作り話であり、Facebookページのログイン情報を詐取するためのものだ。メッセージに含まれたリンクをクリックすると、入力フォームに誘導された後、偽のFacebookログインページへ遷移させられる。
ページの違反
対応必須
あなたのFacebookの投稿に著作権上の違反があったと報告されました。ページが停止される前に、Facebookサポートへ速やかに連絡する必要があります。
Facebookビジネスサポートはこちら。
https://...この通知は24時間有効です。対応しない場合、予告なくアカウントが停止されます。
Facebookのポリシーに違反があった場合、正式なサポートチャネルから通知されると思って間違いない。フォロワーや友達が直接メッセージを送るような方法はとらないだろう。ページの所有者へ連絡するため、Facebookにはサポート専用の受信箱があり、サポートに関する、すべてのメッセージが表示される。このようなダイレクトメッセージを受信したら、リンクをクリックするのは避け、Facebookのサポートへ直接通報するべきだ。問題に対処し、多くの場合、連絡してきた詐欺師は標的へのアクセスが禁止される。
おわりに
Facebookはプラットフォーム上に表示されるコンテンツの取り締まりについて比較的厳しい態度をとっている。しかし、サイバー犯罪者もまた、詐欺を働くために工夫を凝らしているものだ。Facebookの監視の隙をつき、詐欺の投稿を拡散しようとする。多くのユーザーから金銭を詐取するよう仕掛けてくるのだ。
こうした詐欺から身を守るためには、あらゆるものに対して疑いの眼を向けることを推奨する。特に、ソーシャルメディアは疑わしい投稿であふれている。信憑性のないフェイクニュースから新型コロナワクチンに関する詐欺に至るまで、あらゆるものに警戒するべきだ。
[引用・出典元]
Common Facebook scams and how to avoid them by Amer Owaida 30 Jun 2021 - 11:30 AM
https://www.welivesecurity.com/2021/06/30/common-facebook-scams-how-avoid-them/