「フィッシング詐欺の対策」を破ろうとする手口も出現
被害の絶えない「フィッシング詐欺」。正規のサービスなどをよそおったメールで、ニセのサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出すというもの。
フィッシング詐欺で使われる偽のサイトは、外見、さらにはURLまでも本物に似せて作られている。IDとパスワードを入力すれば、不正ログインなどの被害に遭ってしまう。報道される機会も多いため、知っている人も多いはずだ。
金融機関やECサイトをかたるものが有名だが、「時事ネタ」を取り込むのもフィッシング詐欺の特徴。たとえば近年では、「ワクチン優先接種予約」を騙るものなども出てきている。「急いで予約しなければ、接種できないかもしれない」という心理につけ込んだ手口といえる。
一方、フィッシング詐欺が広まり、その対策をする人が増えてきたことを逆手に取った報告例もある。フィッシング詐欺の対策を訴える、フィッシング対策協議会の名を騙った報告例もあるのだ(フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | フィッシング対策協議会をかたるフィッシング (2022/05/06))。こちらは、「カードの不正利用を防ぐ」という名目で、クレジットカード番号を盗み取ろうという手口になっている。
また、新しい手口として、単純にログイン情報を入手するだけでなく、「フィッシング詐欺の対策」を破ろうとするものまで出てきている。セキュリティを強固にするため、ログインの際に、電話番号(SMS)などによる認証も必要になる「二要素認証」(ログイン認証)を設定する人もいるだろう。
この二要素認証を破るために、偽サイトで被害者が入力してしまったIDやパスワードなどを「正規のサイトに転送する」というフィッシング詐欺の報告例がある。
偽サイトにログイン情報を入れてしまい、さらに、その情報が正規サイトに送られると、どうなるか。二要素認証を設定しているために、正規サイトは被害者のスマートフォンにセキュリティコードを送付する。
ここで、被害者がIDやパスワードだけでなく、受け取ったセキュリティコードまでも偽サイトに入力してしまうと、犯罪者側は、ID、パスワードと一緒に、二要素認証のためのセキュリティコードまでも入手することになる。
フィッシング詐欺の狙いは、相手を「だますこと」にある。コロナ禍で多くの人たちの生活が変わった中で、フィッシング詐欺を仕掛ける側はさまざまな策をめぐらせている。現代に生きる我々は、これらの手口をよく知り、だまされないように心がけることが肝心だ。
対策は、慎重すぎるぐらいでもいい
フィッシング詐欺の被害に遭わないために気をつけるポイントとしては、個人情報を入力することなく、しっかり確認すること……と言われる。
たとえば、メールアドレスは正規のものかをチェックする、ウェブアドレスが正規のものであるかに注意する……といったものだ。しかし、まぎらわしい場合は見抜けるかどうか不安という人もいるだろう。また、急いでいるときなど、確認を怠ってしまうケースも考えられる。
まず、覚えておいてほしいのは、フィッシングサイトを開いてしまった時点では、何も被害がないという点だ。すぐに閉じて個人情報やパスワードなどを入力しなければ、ほとんどの場合、問題はない。
よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザのブックマークなどからのアクセスを心がけるようにしよう。逆に、メールやSMSからのリンクからサイトにアクセスしたときは、できる限りIDやパスワードを入力しないようにしたい。
ログイン情報を要求するメッセージなど、疑わしいメールに関しては、公式サイトのヘルプデスクなどから問い合わせて確認する手もある。慎重すぎると思うかもしれないが、最近のフィッシングサイトは本物そっくりに作られているため、このような手段で確認することは決してムダではない。
警戒していたとしても、「もしかして……」と不安になることもあるかもしれない。不審に思った場合や、トラブルにあった場合など、最寄りの消費生活センターなどに相談してもよいだろう。
今回はMcAfee Blogから「詐欺師がこのワクチン接種フィッシング詐欺の証拠でユーザーをだましている方法」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
詐欺師がこのワクチン接種フィッシング詐欺の証拠でユーザーをだましている方法:McAfee Blog
ノートパソコンを開くと、見覚えのない医療機関からのメールが表示されます。 件名には「緊急 - 予防接種が必要です」と書かれています。 衝動的に、あなたは電子メールを開いて、リンクをクリックします。 名前、生年月日、社会保障番号、ワクチンカードの写真の入力を求めるウェブサイトにリダイレクトされます。 スクランブリングでは、情報を入力して[送信]をクリックします。
ライフスタイルを現在進行中の公衆衛生上の予防措置に適応させ続けるとき、これらの予防措置がデジタルの健康にもどのように影響するかを考慮することが重要です。 ワシントンポスト紙によると、パンデミック関連の電子メール詐欺が増加しており、特にデルタバリアントが急増しています。 McAfee Labsの2021年4月の脅威レポートによると、COVID-19をテーマにしたサイバー攻撃の検出は2020年の第3四半期と第4四半期に114%増加しました。また、調査によると、2021年6月のCOVID-19フィッシングの試みは33%増加しました。 予防接種の証明とブースターショットに関する混乱が浮上しているため、サイバー犯罪者が利用する可能性があります。
予防接種の証明を求めるフィッシング詐欺
雇用主が職場復帰計画を再評価するにつれて、ワクチン接種の証明またはCOVID-19検査結果の陰性を要求する人もいます。 これにより、サイバー犯罪者が悪用する新しい機会が生まれます。 研究者は、人事部門を装ったフィッシングメールを発見し、受信者にワクチン接種状況に関する個人を特定できる情報を送信するように求めています。 これらのタイプの電子メールの多くには、偽のログインページへのリンクが含まれています。 受信者が資格情報と個人データの入力を続行すると、サイバー犯罪者は消費者のデータを使用して資格情報の詰め込み攻撃を行い、オンラインプロファイルをハッキングする可能性があります。 これは、クレジットカード詐欺、データ抽出、電信送金、個人情報の盗難などにつながる可能性があります。
医療機関を装ったフィッシング詐欺
さまざまな組織が潜在的なウイルス曝露、検査と予防接種の情報、およびその他の公衆衛生のニュースについて個人に連絡しているため、これらの組織の一部は彼らが言っているものとは異なる場合があることを覚えておくことが重要です。 聞いたことのないヘルスケア会社からのメールですか? おそらく変装したサイバー犯罪者です。 一部のハッカーは、公衆衛生や政府機関になりすまして、ユーザーの名前、社会保障番号、生年月日、その他の貴重なデータを収集することを期待してフィッシングメールを送信しています。 犯罪者はこの情報をダークウェブで販売する傾向があり、受信者のオンラインの安全性が危険にさらされている間、利益を上げます。
フィッシングから身を守る
パンデミックに対処するためのニュースや推奨事項が増え続ける中、デジタルウェルネスの保護に関しては警戒を怠らないことが重要です。 結局のところ、それはあなたの体の健康と同じくらい重要です! 最新のCOVID-19関連の詐欺の最新情報を入手することに加えて、フィッシング詐欺などのオンラインの脅威から身を守るために、次のヒントに従ってください。
1.送信者を確認します
よく知らない組織からメールやテキストメッセージを受け取った場合は、調査を行ってください。 組織が合法であることを確認します。 認識しているエンティティからメッセージを受信した場合も同様です。 「人事部」または「診療所」から連絡があり、個人情報を求められた場合は、直接返信したり、メッセージ内のリンクをクリックしたりするのではなく、直接連絡してください。 これにより、変装したハッカーとのやり取りを防ぐことができます。
2.スペルミスや文法エラーを探します
多くの場合、ハッカーは、正規のサイトから1文字離れた偽のWebサイトのURLを使用します。 行動を求めるメールからウェブサイトをクリックする前に、カーソルでリンクにカーソルを合わせます。 これにより、潜在的に危険なWebサイトに移動する前に、URLをプレビューし、疑わしいスペルミスや文法エラーを特定できます。
3.多要素認証を有効にします
多要素認証では、ユーザーが自分の身元を確認するために物のコレクションを確認する必要があります。通常は自分が持っているものであり、網膜や指紋のスキャンなど、物理的な存在に固有の要素です。 これにより、サイバー犯罪者が、データ侵害中にログイン詳細が公開されてダークウェブで販売された場合に、資格情報の詰め込み戦略(電子メールとパスワードの組み合わせを使用してオンラインプロファイルにハッキングする)を使用してネットワークまたはアカウントにアクセスするのを防ぐことができます。
4.個人情報盗難警報サービスにサインアップします
個人情報盗難アラートサービスは、個人情報を取り巻く疑わしい活動について警告し、取り返しのつかない損害が発生する前に行動に移すことができます。 McAfee Total Protectionは、デバイスをウイルスから保護するだけでなく、IDも安全であるという安心感を提供します。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
