見出し画像

すぐそこにあったフィッシング詐欺被害(未遂)

フィッシング詐欺って言葉はもうずいぶん前から聞いていて、まあ自分のところにも怪しいメールが毎日のように届いていたので、それほど珍しいものではないと考えていました。要は、怪しいメールは開けないようにすること。そしてメッセージの内のURLをクリックしなければいいってことでしょ、くらいの軽い気持ちで。
でも、家人が先日うっかりやってしまった。
幸い未遂に終わったのでよかったのですが、忘れてしまわないようにその流れを記録しておきたいと思います。


はじまりはSMS(いかにも怪しい)

(翌日にあらためてスクショ)

仕事中にスマホにこんなショートメッセージが届いたそうです。

ちょうど新しいクレジットカードを申し込んで、その到着(書留郵便)を今か今かと待っていたところだったので、「あ、あれかな?」と思ったと。
「自宅に誰かいるはずなのに、ちょうど不在だったのかな。間が悪かった。返送って困るな。急いで取り戻さないと。」と想像が働いちゃったんですね。

被害に遭う人は、なぜ立ち止まれないのか。
それは「確証バイアスが働くからだ」というご指摘(山本和輝,2018)の通りだったわけです。

家人も、大切な書留郵便が来ると予告されていなければ、少しは怪しんだかもしれません。
でも今回は、まんまとURLをタップしてしまいました。

そして謎のランディングページへ

(再現のためパソコンからアクセス)

何を言っているのか、よくわかりませんね。
「安全異常がある」というのは見慣れない言い回しです。警戒していれば、ここも「いかにも怪しいポイント」の二つ目と思えたかもしれません。

でも家人はそのポイントも華麗にスルー。唯一押せる「閉じる」をタップしてしまいます。

そして(詐欺犯の)目的地にご到着

(再現のためパソコンからアクセス)

これはまあよく出来てますよね。
何度も見たことある気がします。
まあパソコンのブラウザで冷静に眺めると、なんか変なURLになってますね。
ご丁寧に「安全ではありません」とも表示されてるし。
でも、スマホでアクセスして、信じ込んでいると気づけないかもしれません。

(せっかくなので、うちの子どもにもこのページを見せましたけど、ちょっと驚いてました。まあ詐欺犯は容赦無くパクってくるということですね。)

偽Appleページを観察してみると

(本来ならあちこちにリンクがあるはず)

で、わたくし、こわごわとパソコンからアクセスしてみまして、せっかくなのでこの偽ページをもう少しよく観察してみると、いくつかあるはずのリンクがなかったりしました。

ページの上の方の左右のところは、リンクなし。
でも、下の方の三ヵ所はリンクが生きてるんです。
そして、怖いもの見たさで押してみたわけです。(良い子はマネしないように)

本物のApple.comに飛びました

(Apple IDとパスワードを忘れた場合 を押して遷移したページ)
(お近くのApple Store を押して遷移したページ)
(Apple製品取扱店 を押して遷移したページ)

なんでわざわざ中国のApple Storeを表示するのかはよくわかりません…が、どれも本物のApple.comには行けるようでした。
IDとパスワードを忘れたという人は、ここで再発行して続きを偽サイトに入力しちゃうんでしょうか。そこまでは試してみませんでした。

ダミーのApple IDとパスワードを入力

(再現のためパソコンからアクセス)

で、再現のためにパソコンからアクセスした上で、肝心のフォームに、架空のIDとパスワードの組み合わせ(と言ってもメールアドレスは過去に使っていて廃止したもの)を入れてみたところ、なんと、正誤チェックが働くんです。

これには結構驚きましたね。
このページで受け止めた組み合わせを、裏でAppleのサイトか何かに投げる仕組みを作ってあって、いちいち確かめてるんでしょうか。
フィッシング詐欺犯、心理戦だけなのかと思ったら、技術力も恐るべしです。

IDとパスワードが思い出せずに未遂に

結局、家人はApple IDとパスワードが思い出せず、ID窃取の被害には遭わずに済みました。
これ、どういうことだろう?、と家人からわたくしに相談があったことで、一連の流れがハッキリしたというわけです。
盗まれなくて本当によかった、、。

【今回の教訓】
セキュリティとかオンラインの詐欺対応に自信がない人は、IDとかパスワードの管理には中途半端にタッチせず、信頼できる家族に丸投げしておくというのも一案かもしれませんね。(ちょっと違う気もするけど、、汗)

フィッシング対策に役立つ情報源はこちら

フィッシング対策協議会という団体が、役立つ情報をわかりやすく示してくれています。勉強になります。(リンクはこちら

(協議会さんサイトから引用。今回の未遂はまさに左側の類型。)

今回の詐欺サイトについても、フィッシング対策協議会さんに一応、通報しておきました。専用の通報フォームがあり、集まった情報は、セキュリティ対策ソフトのベンダーさんなどにも共有、活用されるとのことです。

いいなと思ったら応援しよう!