こんにちは。
「ITコンシェルジュ」こと、
UTソリューションズ 吉川です。
Amazonからのメールは毎日かなりの数が届きます。どれが正規メールで、どれが詐欺メールかは、とてもわかりづらいです。
そこで、2回にわたり、ますます増え続けるAmazonを騙るフィッシングメールの実態と、そのメールにアカウント情報を入力してしまった場合などの対策について解説します。
1回目 8月24日
2回目 8月31日(予定)
Canon サイバーセキュリティ サイトより
フィッシング詐欺とは、実在する著名な企業や組織などの名称を騙り、ユーザーID・パスワード、クレジットカード番号、氏名、住所、電話番号などの情報を詐取する行為だ。
最終的には、攻撃者は盗み出した情報を用いて金銭など何かしらの利益を得る。
「フィッシング対策協議会」の発表によれば、2021年10月現在においても月間で48,740件(海外含む)もの報告が寄せられるなど、多くのユーザーが被害に遭っている。
中でもAmazonを騙る詐欺は報告数全体の約 28.2 % を占める。
※これだけ世間では、気を付けようとのメッセージがあるのになぜ、詐欺にあってしまうのでしょうか?
フィッシングメールは送信者名を詐称したメールを送り付け、何かしらの理由を掲げてユーザーにリンクをクリックするよう促す。
クリックした先に偽装したWebサイトを設置することで、ユーザーに情報を入力させるのが一般的な手法だ。
●2021年11月時点で確認されている、
メール文面上の「理由」は以下のようなパターンがある。
①アカウント情報における不備の修正を迫る
「お客様のアカウントは停止されました」
「送付先情報に誤りがあり注文を出荷できません」
「Amazonプライム会費のお支払い方法に問題があります」
「カスタマーサービスからのメッセージ」
②お得感を訴求してユーザーにクリックを促す
「払い戻しがあるので承認して下さい」
「割引クーポン差し上げます」
文面はこの限りではないが、基本的に緊急性を煽る(あおる)メッセージを盛り込み、ユーザーに早急な行動を促すものが多い。
焦らせることで、冷静な判断力を奪うという心理的脆弱性を突こうとしているのだ。
本物のAmazonからのメールと見分ける際に確認すべき事項として以下に紹介していく。
①リンク先のURLが正規のAmazonのものではない
以下の例のようにブラウザーのアドレス欄に表示されるURLがAmazonの正規の
https://www.amazon.co.jp/
ではなく、微妙に異なるものを用いるケースが多い。
✿https://www.amazon.co.jp.●●●●.xyz/…xyzは何かしらのアルファベット文字のこと
「~co.jp」の後に「.●●●●.xyz」
が続いているため、正規のAmazonのURLではない。
✿https://www.amazon.co.jp-●●●.●●●.●●●●.cn/
「~co.jp」の後に「-●●●.●●●.●●●●.cn」が続いているため、
正規のAmazonのURLではない。
正規のAmazonのURLでは
https://www.amazon.co.jp/
の後に何らかの文字列が続くことになるため、
注意してアドレス欄を見ればその違いはわかるだろう。
※~co.jp/ の後という意味です。
また、気をつけたいのがメールやWebページで正規のAmazonのURLが文字列として記載されているものの、クリックすると実際にはURLが異なるリンク先に誘導されるケースだ。
以下の例のように、僅かな違いであることが少なくないため、瞬間的に判断することは難しい。
✿文字列としてのURLの例: https://www.amazon.co.jp/●●●●/xyz/~
✿リンク先で表示されるURLの例: https://www.amazon.co.jp.●●●●.xyz/~
パソコンの場合、リンクのURLにマウスのポインターを当てれば、リンク先として設定されているURLが確認できる。
※これでは、見た目には判断付きませんね。
非常に厄介です。
これではAmazonメールだけの被害で28%になるのもうなずけます。
※青い文字の上にカーソルを合わせると、
Amazonとは全く関係ないURLが確認できます。
②リンク先でアカウントID・パスワードを詐取しようとする
万一URLをクリックしてしまっても、自分自身のIDやパスワードなど、アカウント情報の入力は避けるべきだ。
攻撃者は詐取したアカウント情報を用いて換金を試みる。
例えば、Amazonギフトカードや換金性が高い商品を購入するといった具合だ。
ほかにも、アカウント情報自体をダークウェブ上のダークマーケットで販売する可能性なども考えられる。
仮にアカウント情報をフィッシングサイト上で入力してしまった場合、その直後に被害が生じていないからと言って、安心するというのは早計だ。
今日の解説はここまでです。
次回は8月31日を予定しています。
・フィッシングサイトで情報詐取された場合の対処は
・フィッシングに引っかからないためには
・デジタル時代の生活で求められる防犯対策として について。
弊社は、システム開発事業を行っています。
食品メーカーの受注管理システム、
建設会社の原価管理システム、
などの業務管理システム開発が得意です。
開発ソフトはFileMakerを採用することで、
高品質・迅速納期・良心的価格を実現できました。
https://www.ut-s.net/filemaker
今日も最後までお読みいただきまして
ありがとうございました。