フィッシング詐欺の手口とは?
妻と私は別々のPCを使っているのだが、お互いのメールが確認できる
ある日「○○カードからあなた宛てに変なメールが来てるけど大丈夫なの?」と妻が聞いてきた
最近カード会社だけでなく銀行やアマゾンなどから、「至急!確認のお願い。不正な取引があったので取引を停止しました」的なメールが頻繁に届くのだ
「あ~、いつものヤツね」と答えると・・
「これ私も使ってるカードだから確認して!」と言う
「う~ん、いつも来てるフィッシングメールだから放っておけばいいよ!」
「そんなこと言わないで電話で確認してよ!」
人間おかしなもので、関係ない(持っていない)カードや銀行なら全然気にならないのだが、自分が持っているカードや口座のある銀行だったりすると俄然気になって仕方がない!
「メールで取引の確認なんて普通ありえないよ」
「だけど万が一ってこともあるから、確認だけお願い!」
「う~ん、わかった・・」といいながらその気は全然ない
フィッシングメールは去年ごろから私のPC用アドレスに来るようになり、今年に入ってから頻繁に来るようになった
煩わしいのでアドレスを変更してもいいのだが、すでに登録した先のアドレスを全部変更する方がもっと煩わしい・・と思っていたが、必要ないメールもあるので思い切って変更するのもアリかもしれない(まぁそれは置いておいて・・)
このようなメールは今まで全部無視して「即・削除」していたわけだが、どうせ来るならフィッシングメールにはどんな特徴があるのか、見分けるヒントはあるのかを調べてみることにした
そもそもフィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のサイトに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザーID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言う(総務省)
撒き餌をして(ランダムに偽メールを送って)、糸を垂らして(偽サイトを用意して)いると、魚(読んだ人)が釣れる(URLをクリックする)ってわけだ
もしこれに引っかかると、クレジットカードの限度額いっぱいまでキャッシングでお金を引き出されたり、オンライン決済とリンクした通販サイトなどで勝手に買い物をされたりする
ほとんどの人は「自分は絶対に騙されない」と思っているが、妻のように自分に関係ある会社から「警告!」や「注意!」なんてメールが来ると突然不安になり、おかしいと思っていても確かめたくなってしまう
こうなると詐欺グループの思う壺だ
メールにあるURL(確認はココからみたいなやつ)をクリックすると本物の企業とそっくりの画面が出てきて、本人確認のために個人情報を入力することになる
一通り入力が終わった時にはすべての個人情報が抜き取られているって寸法だ
こうなるとすぐにIDやパスワードを変更したり、カード会社に使用停止の連絡するしかない訳だが、すぐに気付かなければ被害に遭うし、そうでなくとも面倒な手続きを強いられることになる
だから、そうなる前に偽メールを見分けることが肝要になるわけだ
ではどういうメールが来るかというと・・
よく来る(というかほぼ毎日来る)のがこのパターン
これはVISAだが、全く同じ文面でいろんなカード会社から入れ替わり立ち替わり送られてくる
楽天カードやJCBカードはほんの一例で、これ以外にもMasterカード、イオンクレジットなど、「まぁ飽きもしないでようやるわ」って感じだ
このメールは文面が全く同じなので、見慣れたら偽メールだとすぐにわかる
また会社名と住所はあるが、問い合わせの電話番号が一切ないのも特徴だ
そして偽メール共通の特徴になるが、メルアド以外の個人情報がまったく入っていない(まぁ当たり前だが・・)
似たような偽メールにこんなのもある
「不正監視システム」が不正な使用を検知しました!ってヤツだ
「監視システムが見つけたんだから間違いない!」とでも思わせたいのだろうか・・
と言うか、そもそも不正使用って何?
カード番号と暗証番号さえ合っていれば本人だろうが他人だろうが取引は成立するわけで、カード会社がそれを不審に思うはずがない
またカード会社が取引を制限する?って、それをやってくれるならわざわざ本人が使用停止の連絡をしなくても済むわけだが、そんな親切な会社があるわけない
これらのメールはその会社のロゴやマークを使っているのも特徴だ
会社のロゴやマークを見ると如何にも本物って感じだが、内容は「本人確認ができません」っていつものパターンだ
銀行の名前でこんなのも来る
ペイペイ銀行とSMBCだが、まぁかなり手抜きの偽メールだ
「個人情報の有効期限?」「与信失敗?」、いままで聞いたこともないが・・
手抜きと言えばこんなのもある
本当にやる気あんの?って感じだ
これはアマゾンだが、アマゾンと言えばいろんなパターンが来る
「異常なアクティビティが検出」タイプ
異常なアクティビティって何?、文章が途中で終わってるし・・
「あなたのアカウントで購入しようとした」タイプ
いつも利用している人にとってはちょっと気になるかもしれないが、いつも通り注文できるなら問題なし!
最後の「それ以外の場合、あなたのアカウントは永久ロック」と言い放っているのが笑える
「アマゾンプライム会費の未払い」タイプ
私は会員じゃないので関係ないが、別に未払いでこちらの懐が痛むわけではないし、会員特典(会員価格や映画視聴など)が利用できなくなってからでも遅くはないだろう
心配しなくても問題は起きないから、焦らず騒がずどっしり構えていた方が良い
「荷物をお届けします」タイプ
クレジット決済にしている人は「えっ!?」となる可能性が高いメールだろう
でもよく考えてほしい
そもそもアマゾンが身に覚えのない注文があると知らせてくれた上に、それをキャンセルしてくれるなんてあり得ない
もし本当にIDやパスワードが盗まれていたとしたら、知らないうちに買い物をされて数か月後のカード明細を見てビックリするだけだ
この場合はまず偽メールを削除して、いつもアクセスしているアマゾンのサイトから購入履歴を確認するのが一番いいだろう
ちなみに載っている電話番号は本物のクロネコヤマトのサービスセンターだった
一部本物の情報が掲載されているからといって、決して信用してはいけない
偽メールはクレジット会社、銀行、アマゾンだけではない
これはETCサービスを騙った偽メール
ほとんど脅しのような文面に一瞬驚くが、ETCが使えなくなったことは一度もない!
最近多いのがJRからの偽メールだ
これはJR西日本からのメールなのだが、登録もしていないのになぜか来る
実はこのメール、非常に巧妙な手を使っている
「えきねっと」は確かに2年間ログインしないと自動退会になる
そのお知らせをJR東日本が2021年に登録会員に向けて送ったのだが、偽メールはその内容をそのまま流用しているのだ
JR東日本はすでにメールの配信を停止している(2022年3月)ので、いま来ているメールはすべて偽メールだ
コロナでしばらく旅行を控えていた人などは騙されやすいのでご注意を!
ちなみに自動退会になっても、また登録すればすぐに使える
これも「えきねっと」からのメール
こちらは途中で文章が切れているし、何を言っているのかよくわからない
偽メールには時々こういうのがある
英語か中国語をそのまま翻訳したような文面なので、読んでおかしいと感じたら速攻削除するに限る
ほかにも同じような内容(アカウントが更新されない、有効期限が切れたなど)のメールがこれでもかと言うぐらい送られてくる
これは「お名前com」
これは「J:COM」
そして「NHK」
このNHKを騙った偽メールは、契約者が多いだけに要注意かもしれない
しかし、NHKプラスはそもそもアップグレードするものではないし、契約者全員が加入するものでもない
私もNHKプラスに加入しているが、NHKのホームページから申し込むと後日登録IDが郵送されてくるので、それを元に登録するやり方になっている
さて、ここからはかなり気になるタイプの偽メールを紹介したい
これはアメックスの請求金額確定のお知らせだ
私は使っていないので問題ないが、使っている人は本物と間違えて気軽にクリックしてしまうかもしれない
ご丁寧にカード番号の下5桁が入っているので、まずは確認した方が良いだろう
こちらもアメックスだが、思わず本物と間違うような利用金額通知になっている
利用金額は429,016円とある
アメックスは使用限度額も高いからこれぐらいは普通なのかもしれないが、もし私が使っていたら結構焦るかもしれない
しかしそんな時でも決してこの偽メールからログインしてはいけない
まずはカード番号を確かめてみること(自分の番号ではないはず)
それでも心配ならアメックスの公式ホームページか、自分がいつもアクセスしているオンラインサイトから取引明細を確認するようにする
私のところに届く偽メールを一通り紹介したが、ほとんどが不安を煽って自分たちの作った偽サイトへ誘導しようとするモノだから、まずはパニックにならないことが大事だ
そして偽メール(警告!注意!のメール)のURLは絶対クリックしないこと
どうしても気になるなら、公式ホームページか自分が普段使っているオンラインサイトで購入履歴や取引明細を確認することだ
偽メールのことを調べていたら、こんなサイトを見つけた
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告 (antiphishing.jp)
ここではフィッシングメールやフィッシングサイトに関する情報提供を受け付けていて、報告のあった情報は警察や関係団体(騙られた企業など)へ提供しているらしい
私もここへ情報提供すれば、メルアドを変更しなくても済むかもしれない
これを書いている時に、NHKでこんなニュースが流れていた
「フィッシング詐欺」報告 7月は過去最多の10万件超 新手口も
偽のサイトなどに誘導して個人情報などをだまし取るフィッシング詐欺に関する報告件数が、先月は初めて10万件を超え、過去最多となりました。国税庁をかたって「未払いの税金がある」などとショートメッセージで誘導する新たな手口も確認され、フィッシング対策協議会が注意を呼びかけています。
「フィッシング詐欺」報告 7月は過去最多の10万件超 新手口も | NHK | IT・ネットより
今月に入って、国税庁をかたって「税金のお支払い方法に問題があります」とか「未払い税金お支払いのお願い」などとフィッシングサイトに誘導するショートメッセージも確認されています。
「フィッシング詐欺」報告 7月は過去最多の10万件超 新手口も | NHK | IT・ネットより
如何にも国税庁から来たようなメールだから真面目な人ほど騙されるかもしれないが、メールでくる取引確認や支払確認は偽メールと思って間違いない
仮に本当だとしてもすぐに財布が痛むわけでもないし、督促状(郵便)が来るまで待っていても遅くはない
NHKによると、現在ネットショッピングではAIを使って不正な取引を減らす対策を行っているそうだ
不正取引が行われた住所をAIがスコア化し、届け先住所のスコアが高い場合は取引をキャンセルするというもので、これによって不正な取引が大幅に減っているサイトもあるらしい(これは助かる!)
さて最後に・・、こんなメールがたまに来る
私のPCは知らない間にハッキングされたらしく、私の卑猥な画像をいつでも公開できるという
しかし48時間以内にビットコインを送金すれば勘弁してくれるとのこと
「へ~、指示に従わないとどうなるんだろう?」
「私の画像なんて見たい人はいないと思うけど・・」
・・そんなことも忘れた頃、ご丁寧にまた同じメールが送られてきた
このハッカーは私のPCをハッキングできていなかったらしい・・
「な~んだ・・」
今日の深掘りはここまで