騙されるよりはいいけどね・・・
ASCII.jpの記事に、 フィッシングメールと思い込んで「本物の警告メール」を見逃す失態にヒヤリ てのがありました。
フィッシング詐欺だと決めつけたメールが、実はホンモノの警告メールだったというヒヤリ案件があったそうです。記事によると・・・
いきなりTwitterから「あなたのアカウント情報が流出しました」という内容のメールが届きました。
が、日頃から疑り深い私は『どう考えてもTwitterを騙ったフィッシングメールじゃん』と思ってインスタに「またこんなフィッシングメールが届いた。怖い」とアップしたら、友達に「それフィッシングじゃなくてマジ事件だから! 今すぐパスワードとか変えろ」と言われ、慌てて検索したらホントにTwitterからアカウントが漏えいしたニュースが大量にヒットして背筋がヒヤッ!
速攻でパスワードを変えて、ついでに同じメールアドレスで登録したWebサービスも全部パスワードを変更しました。めっちゃ疲れた……。
だそうです。日々多くのフィッシングメールが届いている中の人は、フィッシングメールに飽き飽きしています。あぁ、また今日も似たような インスタから警告メールが届いて・・・ ということが中の人にも過去ありました。
フィッシングメールだと思っていたら、本当の警告メールだったということは結構あるようです。
実際に先週、弊社のお客様から「以下のような警告メールが来たけど、本物か確かめて欲しいという」ご依頼がありました。ご相談いただいたメールは以下の様なものです。
いかにもフィッシングメールの匂いがプンプンしますよね。でも、「パスワードを確認」のリンクを確認すると、リンク先は https://account.google.com/ で間違いなくGoogleの正規ドメインです。
これは正規の警告メールであることをお伝えするとともに、Googleアカウントに保存している漏洩したであろうアカウントのパスワード変更をお願いしました。
実は同様のご相談が先週だけで弊社に3件ありました。某国からの攻撃との関係性は不明ですが、これだけ続くと関係性を疑いたくもなります。
ちなみに、全てのお問い合わせいただいたお客様に確認させていただいたところ、漏洩が疑われるアカウントのパスワードは誰もが思いつくような安易なパスワードであったそうです。いわゆる リバースブルートフォースアタック の標的になった可能性が考えられます。
パスワードの生成時には可能な限り複雑で辞書に載っていない英数記号の組み合わせを用いることをお薦めします。
また、フィッシングメールと思われるメールでも、メールのリンク先のドメインなどを確認することで正規のものかどうかを確認することも可能です。正規のメールかどうか疑わしい場合には、まずはリンク先のドメインが正規のものであるかどうかをご確認ください。
某国からの攻撃は今後も継続すること予想されますので、皆様十分にご注意ください。