ある日、謎の番号からSMSが届いた。
090-1350-0658
ご本人様不在の為お荷物を持ち帰りました。ご確認ください。
http://~~~~.duckdns.org
最初に言っておくが、これは100%詐欺(フィッシング詐欺)である。
会社名が書かれてないからとか、URLがあやしいからとか、SMSだからとか以前に、いきなりリンクを踏まそうとしてくるのはとりあえず疑ってかかったほうがよい。
この手の詐欺に気をつけてくださいね、というのは、日本郵便など運送各社も注意喚起を行っている。
フィッシングメール・SMSによる詐欺にご注意ください – ゆうちょ銀行
https://www.jp-bank.japanpost.jp/news/2020/news_id001592.html
「詐欺かどうかをこうやって見分けよう!」みたいなのを書いたところで、けっきょく手口がコロコロ変わってイタチごっこなので、根本的な対処法は「そもそもリンクを直接開かない」ということしかない。
たとえば、日本郵便を名乗るメールが来たら、リンクを直接踏むのではなく、自分でブラウザを開いて日本郵便のサイトにブックマークや検索からアクセスする。それだけで、よく似たフィッシング詐欺ページに飛ぶのを避けることができる。
くれぐれも、直接リンクを踏んではいけない。絶対に踏んではいけない。
踏んでみた。
日本郵便か佐川急便あたりを装ったページに飛ばされるのかなと思ったら、なぜかイオン銀行を名乗ってきた。SMSの内容とぜんぜん関係ないじゃねーか。
飛ばされたページはこんな感じ。
これ、明らかにおかしいのはURLくらいしかなくて、全体的にとてもよくできている。
まあ、本物のページのソースをそのままコピペしているから似るのは当然なのだが。
本物と見比べると、こんな感じ。
完成度が高い。この見た目だけで偽物・本物を見分けるのは困難と言ってよいだろう。
まあ、繰り返しになるが、そもそも偽物・本物を見分けてやろうという発想自体が詐欺対策としては間違っている。
「そもそもリンク踏むな、関わるな」が唯一の答えだ。仮に間違えてリンクを踏んでしまったとしても、決して情報を入力してはいけない。
入力してみた。
ログインを要求してくるフィッシング詐欺には、
a.ログインID・パスワードをここで入手し、さらに次のページで住所、氏名などさらに重要な個人情報を入力させてだまし取るパターン
b.わざと「IDが間違っています」などと表示して、「確認用メールアドレスを入力してください」などと追加の情報もここでだまし取るパターン
c.わざと「IDが間違っています」などと表示して、ID・パスワードだけをだまし取っておわるパターン
などがあるのだが、今回はcのようだった。
cは、だまし取れる情報量は少ないが、詐欺をする側の労力が極めて少ないという利点がある。このページを作るだけで済むからだ。
余談だが、この手のフィッシング詐欺ページは「個人情報をだまし取る」という明確な目的があり、そのためだけに作られているため、関係ない部分は徹底的に省略されていることが多い。
たとえば、「カードを紛失したお客様はこちらからお手続きをお願いします。」みたいなアクセス率の低いリンク先(コストをかけて作ってもリターンが少ないリンク先)はそもそも用意されておらず、踏んでもどこにも飛ばないことが多い。
不要なコストを徹底的に省き目的達成につながることにだけ注力する、というのは、ビジネスとしては理想的なやり方である。
これはビジネスじゃなくて詐欺だから最悪なだけだけど。
コメント
コレで何処かの詐欺師が
良い肉シコシコとか入力してんのかなw
詐欺突撃シリーズ
約束を自ら破っていくスタイル
ちゃんと契約者ID10桁に合わせてあげるあたり律儀だな、って思った。
ログインパスワードは1919081ですかね?
https://youtu.be/9sUK2dLMx7Q
参考に、以前特集されたニュース動画です。
「押すなよ押すなよ」と言って押されるのを待つんじゃなくて自分から飛び込むスタイル大好き
最近母のスマホに同じようなメッセージが飛んできたので参考にさせていただきました!内容見せる時にイチジク浣腸のことは伏せて置いたので安心してください!