第二回ではフィッシングメール詐欺のよくある手口を紹介します。

 

1. 設定確認
使用しているWebサービスなどから「情報漏洩事件が多発しているので、新しいセキュリティ対策を導入した」とメッセージが来て、メッセージ中に含まれているリンクからログインするように促されるものです。

また「あなたのパスワードは簡単すぎるので安全面で問題があります」とメッセージがきて、メッセージに含まれているリンク先からパスワードを変更するという名目でログインを促されるケースもあります。

 

2.ID・パスワード変更の催促
使用しているWebサービスにおいて「第三者からのアクセスを確認したので、パスワードを暫定的に変更した」とメッセージがきてリンクをクリックさせて、パスワードを再設定させるためにIDとパスワードを入力させようとします。

 

パスワードは暫定的に変更させたのに、再設定のために古いIDとパスワードを入力させるのは、落ち着いて考えるとおかしな話です。

また「アカウント情報に不備がある」と指摘するメールが来て、登録情報を変更するためにリンク先からログインするように促されることもあります。

 

「24時間以内に変更しないとロックされます」と脅迫するケースも確認されています。

 

このようなメールには、不備のある情報が具体的に何なのか書かれていない点がポイントです。

マイクロソフトが販売している「Office」を使用するためのプロダクトキーが第三者に悪用されているということで、検証作業のためにリンク先からログインさせようとする手口もあります。

 

このケースの場合も「24時間以内にログインしないとプロダクトキーが無効になる」とユーザーを不安にさせる文面が使われることがあります。

 

3. 購入確認
ECサイトで商品を購入した時に送信される購入確認のメールを騙るケースです。実際に購入した時と同様にHTMLメールで送信されます。

 

受信したユーザーは当然心当たりがありませんので「キャンセルはこちら」のリンクをクリックしてしまいます。

 

リンク先ではクレジットカード番号やパスワードなどの入力フォームが用意されており、入力を促されます。

4. 偽サイトへの誘導

受信したメールのリンクをクリックすると、本物とそっくりのWebサイトが表示されます。これは攻撃者向けに提供されている、Webページを丸ごとコピーできるツールを使用して作られています。

 

しかしこれは実際には偽物のWebサイトです。本物と同じようなデザインで偽物のWebサイトをつくることで、ユーザーを騙してクレジットカードやログイン情報を不正に入手しようとしているのです。

 

5.宅配便の不在通知
スマートフォンのSMSでよく見られるのが、宅配便の不在通知のふりをしたスミッシングです。スミッシングとは、SMSを使ったフィッシング詐欺を意味します。

攻撃者は、実在の宅配業者を騙って「荷物をお届けしましたが、不在でしたので持ち帰りました。以下のURLから確認してください。」といった偽SMSを送りつけます。

 

ユーザーにURLリンクをクリックさせ、偽物のWebサイトで個人情報の入力を求める手口です。もしくは、不正なアプリをインストールさせ、スミッシングの発信元として悪用するケースもあります。

 

フィッシングメール詐欺は簡単に看破できます！！

 

2つだけを絶対に守ってください！

 

第一！メールで来たリンク(アドレス)を絶対にクリックしない。

 

第二！メールで来た会社やサービスの正式なホームページをGoogleやYahooで検索してログインしてください。

 

もし正式にログインして何もなければ、そのメールはフィッシングメール詐欺です。次回はフィッシングメール詐欺の被害をピックアップします。