SNS乗っ取りの手口としては、どこかからパスワードが流出した、フィッシングでパスワードを教えてしまった、という例がありましたが、新たな手口が流行っているようです。
初めに知り合いから何かのメッセージ(Facebookとかインスタグラムとか。それ自体が乗っ取られている知り合いのIDから)で、
『投票して』
というようなお願いがきます。
「良いよ」
と返信すると、
『ショートメッセージでURLを送るから、コピーして貼り付けて』
と返事が来ます。
直後にショートメッセージにURLが届きます。
それをコピーして、はじめのメッセージに返信したら、おしまいです!
送られてきたURLは、あなたのパスワードをリセットするためのアドレスなのです。
これはインスタグラムでの例ですが、よく見ると"Don’t share it"(シャアしちゃだめよ=他人に教えてはいけない)と書いてあります。
ホームページやSNSには、パスワードを忘れたときに、リセットして新しいパスワードを登録するサービスがあります。
「パスワードを忘れた」
というようなリンクをクリックすると、登録しているメールアドレスや携帯のショートメッセージに、パスワードを再設定したり、リセットするためのアドレスが送られてきます。
IDは公開されているので、他人があなたになりすまして、「パスワードを忘れた」と言えば、できてしまいます。
この時、最初にメッセージを送ってきた知り合いではなく、インスタグラムなどの運営サイトから送ってきているので、あやしいと気が付けばよいのですが、
「早くして」
と急かされるので慌ててしまい、URLを教えてしまうと、乗っ取り犯は、そのURLを使ってパスワードを変更し、登録しているメールアドレスや携帯番号なども書き換えてしまいます。
そうすると、あなたはもう何もできなくなってしまいます。
パスワードをリセットしようにも、乗っ取り犯にしか連絡が行きませんから、打つ手がありません。
最初のメッセージをよく見てください。
貴方の知り合いなら、初めに何か挨拶(「お久しぶり」とか)があってもいいはずですが、そっけないのでは?
お願い事なら「すみませんが…」とか「お時間あったら…」とか「お手数おかけしますが…」とか、それなりの気遣いがあるでしょう。
特に「急いで」と言うようなことはないと思います。
この手口は、信頼性を確保するために二段階認証を設定して、二重の安全扉を用意していても、その扉の合鍵を相手に教えてしまっているので意味がありません。
有名人や有名企業の名前を利用した詐欺の例も多いようです。
友人からのメッセージを疑うのは失礼と思うかもしれませんが、お互いが傷つかないためも、何か違和感を感じたら、他の連絡手段(LINEや直接電話とか)で
「こんなメッセージが来てるけど、本当にあなたのもの?」
と確認してみるのがいいと思います。