フィッシング詐欺、スミッシング詐欺の典型的な例
スマートフォンの普及に伴ってフィッシング詐欺やスミッシング詐欺の舞台はスマートフォンに移行しています。
パソコンに比べてURLアドレスの確認し辛さや緊急性を煽られやすい点が狙われています。
フィッシング詐欺とは
フィッシング詐欺とは、送信者を詐称した電子メールが送られてきて偽物のウェブサイトに接続させるなどの手段でIDやパスワード、クレジットカード情報など個人情報を盗み取ろうとする詐欺です。
以前は適当な送信者やメールアドレスが用いられていたり日本語が不自然な電子メールだったりしてまだ判別しやすかったんです。
今では本物の送信者やメールアドレスで偽装して、さらに実際に使われている文書をそのまま利用してきます。
そのため真偽の判断が困難になってきています。
もっとも大事な判断材料は文書内に書かれたURLアドレスになります。
しかし、それもスマートフォンの表示ではURLアドレス自体を確認できなかったり省略されて表示されたり短縮アドレス表示だったりして判定を難しくさせています。
スミッシング詐欺とは
スミッシング詐欺とは、SMSを用いたフィッシング詐欺のことを言います。
スミッシング(Smishing)はSMSとphishingを組み合わせた造語です。
フィッシング詐欺と言っているのが電子メールに対して、スミッシング詐欺はSMSを用いた詐欺ということです。
電子メールはメールアドレスがわかっていないと届かないのに対して、SMSは電話番号が分かれば送信できます。
電話番号は数字の羅列ですから、詐欺をはたらく者からすればリスト型攻撃しやすい対象と言えます。
SMSはセキュリティ強化を理由に二段階認証やワンタイムパスワードの送信に用いられるも多い機能です。
攻撃者はそういう利用のされ方を模して偽物のURLをクリックさせようとします。
SMSも偽物の電話番号から本物の電話番号を偽造したものになってきていて真偽の判定を難しくしています。
フィッシング詐欺やスミッシング詐欺の例
フィッシング詐欺やスミッシング詐欺の例を挙げます。
タイトル Apple IDアカウントの情報を完成してください
Appleをご利用いただきありがとうございます。お客様のApple ID情報の一部分が不足、あるいは正しくありません。お客様のアカウント情報を保護するために、検証する必要があります。
24時間以内にあなたからの応答を受信しない場合、アカウントがロックされます。
今後ともよろしくお願い致します。
Apple サポートセンター
タイトル アカウント情報を更新、確認してください。
Amazonからのご挨拶です。
アカウントがAmazonの利用規約を満たしていることを確認するために、アカウント情報を更新および確認してください。
必要な情報を確認および更新しないと、アカウントが停止される可能性があることにご注意ください。 画面の指示に従って変更または確認を行ってください。
ご理解いただきありがとうございます。
Amazon.co.
タイトル 【重要】楽天株式会社から緊急のご連絡
下記内容をご確認いただきますよう、何卒お願い伸し上げます。
お客様の楽天市場にご登録のクレジットカード情報が第三者によって不正にログインされた可能性がございましたため、セキュリティ保護の観点から緊急の措置としてお客様の楽天会員登録のパスワードをリセットいたしました。
お手数をおかけして申し訳ございませんが、引き続き楽天会員登録をご利用になる場合は、お手続きをお願いいたします。楽天 IDとパスワードでログインしてアカウントを更新してください。
上記が問題でない場合は、このメールを無視してください。
今後ともよろしくお願い致します。
楽天市場
発行元:楽天株式会社
タイトル アカウントをリセットしてください。
iCloud更新に問題が出たために、一部のAppleアカウントの情報が失われます。
デバイスとアプリケーションを正常に使用し続けるために、アカウント情報のリセットをご完了ください。
これは非常に重要な電子メールであり、最高の情報およびセキュリティ保護サービスを提供することを常に望んでおり、お客様のアカウントが異常な場合に自動的に送信されます。
ご協力ありがとうございます。
Apple サポートセンター
どれも利用者が多い大手事業者を騙っていますね。
他にも
- 今すぐアカウントを更新
- 顧客満足度調査
- 受付を完了するにはフォームの入力が必要です
- アカウントに異常ログインがありました
- サービス開始のお知らせ
- 不正決済が検出されました
- ご不在のためお荷物を持ち帰りました
などのタイトルで送信されてきます。
今すぐアクションをしなければいけないと焦らせて判断を鈍らせるパターンが多いことがわかります。
調査や変更、サービスのお知らせのように騙るものもあります。
URLアドレスは企業の正当な送信者であっても必ずしも.co.jpをサービスのアドレス使っておらず、また文字数の制限から短縮アドレスのときもあります。
そのためURLを見ただけでは判断し辛いケースが増えています。
URLアドレスをクリックしない対策しかない
今まさに自分が行なったアクション(ログインや登録、依頼など)に対する送信や返信以外はURLアドレスをクリックしないというのが取れる対策になります。
発信元から以前に通知されたURLアドレスを直接入力してウェブサイトを開くようにします。
また、金融機関(銀行やカード会社)などは電子メールやSMSを用いて口座番号や暗証番号、個人情報を問い合わせることは行なっていません。
国際SMS拒否設定を行なう
SMSが詐欺に用いられるスミッシング詐欺の多くは海外からSMSが送信されています。
携帯電話会社にはスパムメールを排除する機能があるのと同様に国際SMSを拒否することができる設定が用意されています。
初期設定で国際SMS拒否の状態になっている場合、スミッシング詐欺の多くはそもそも届いていません。
国際SMSの設定を確認する方法は下記の記事が参考になります。
あわせて読みたい