警視庁がX(旧Twitter)で異例の注意喚起を行い
ました。新手のフィッシング詐欺メールの
手口です。
「紹介されている二段階式フィッシングメールの手口は、
1通目にわざと見破りやすい不審なメールを送り、
その後に「社員に不審なメールが送信されています」と
注意喚起を装った巧妙なメールを送りつけ、調査のため
などとして、偽サイトへのリンクを開かせるもの。
1通目を警戒して見破った人ほど、2通目の偽の注意喚起を
信じてだまされやすいという、メール受信者の注意力を
逆手に取った攻撃」
ずいぶんエグいというか、ズル賢い攻撃ですね。
こりゃ、ダマされる人が多いかもしれません。
社内メールを偽っているメールの場合、直接担当
部署に電話で確認した方がよいかもしれませんよね。
以下のサイトはこの件をマンガにして、更に分かり
易くしてくれています。
「1通目を見抜けたことで、少し安心してしまう。
「さっきの件だ」
「会社やサービスからの注意喚起かもしれない」
「確認だけなら大丈夫だろう」
と思ってしまう。
攻撃者は、その油断を狙っています。
これは単なるメール詐欺ではなく、人の心理の流れを狙った攻撃です。
怪しいメールを見抜ける人ほど、
「自分はちゃんと判断できている」
と思いやすい。
その直後に、注意喚起っぽいメールが届くと、逆に信じてしまいやすい。
つまり、今回のポイントは
“怪しいメールを見抜けるか”だけでは足りない
ということです。
大切なのは、次の行動です。
メール内のリンクは押さない。
公式サイトや公式アプリから確認する。
ブックマークなど、いつも使っている方法でアクセスする。
社内であれば、決められた窓口に相談する。
ID・パスワード・認証コードの入力画面が出たら、いったん止まる。
特に、認証コードまで入力を求められる場合は要注意です。」
しかし、どこまで巧妙化するのでしょうか?AIのおかげか(?)
詐欺メールの文章が非常に上手くなっていますよね。
油断は禁物です。
不明な場合は担当部署や会社に直接問い合わせた方がよい
かもしれません。その際はメールに記載された連絡先では
なく、ネットで連絡先を調べてからの方が無難だと考えます。
皆様、お気をつけください。