皆様ご機嫌よう、ごいちです。
今回はAmazonそっくりのサイトにカード情報を入力し、その後不正利用の被害に遭った友人の話を受け、
Amazonを装った不正サイトへの誘導メールの見分け方と被害に遭った後の対処法について紹介します。
周知しなければ多数の被害者が生まれそうなので、つい最近友人の女性の身に降りかかった巧妙なフィッシング詐欺の事例とあわせて、対策方法を紹介していきたいと思います。ここからは友人の話をもとに友人目線で書いていきますね。
カードの不正利用までの流れ↓
- Amazonを装ったメールからサイトに飛びカード情報更新
- 数日後「不正利用の恐れが・・・」と複数のカード会社から連絡
- ZOZO TOWNで靴など数万円分購入される
ごいちです。宅配業者を装う携帯のショートメール(SMS)を通して銀行そっくりのサイトに飛ばすタイプのフィッシングメールがかなり流行っているようです。最近はコロナの影響もありネットショッピングをする方も増えているので、楽天やA[…]
不正利用の実例。請求分の支払い義務はあるのか?
「不正利用の恐れがあります・・・」クレジットカード会社から突然の連絡
日中、見覚えのない番号から突然電話が。
「オリコカードの○○です」
なに、ゴールドカードの勧誘か?と思いつつ話を聞いてみると、
「昨晩、不正利用の恐れがあるご利用がありまして、念の為ご確認いただけますか?」とのこと。
念の為WEB明細にて請求内容を確認してみると、深夜2時にZOZO TOWNで2万、ナイキで3万の購入履歴が・・・。
ZOZO TOWNは使ったことがない。というか、深夜2時はベッドで爆睡していたはず。
カード会社が言うように、何者かが不正利用したに違いない。
どこで情報が洩れたんだろう・・・。
まずは不正利用対策デスクに電話
急いでカード会社の不正利用対策デスクに電話をかけ、身に覚えのない利用の内容を伝えた。
相手も慣れたもんだ・・・そこからは非常にスムーズだった。
一番気になるのは「不正利用分の支払い義務の有無」だろう。
不正利用の請求分は支払わなくてよい
今回のケースのように明らかに不正利用とわかるものはカード会社の補償の対象になるので、不正利用が明らかになった分の支払いはしなくてもよい、とのこと。
カードは電話口で再発行手続きができる
番号が流出したカードは、電話口で利用停止と再発行の手続きができた。
1週間程度で新しいカードが届くらしい。それにしても、色々なサイトに登録していたカードなので、カード番号を登録し直すのが非常に面倒だ。
ここ数日のカード情報の入力を思い返すと、心当たりがひとつだけある。
まさか?つい先日Amazonのサイトでカード内容の更新をしたが・・・まさか?
流出元はAmazon・・・を巧妙に装ったフィッシングサイト。
ちょうど3日前に、Amazonの公式からカード情報の更新メールがきて、番号を登録し直した覚えがある。いや、しかし。念の為メールアドレスも確認したが、どうみても公式サイトのアドレスだったし、サイトもちゃんとしていたように見える。それで安心してカード情報を登録したんだが・・・まさか、あのメールが?
ちょっと落ち着いて該当のメールを見てみよう
以下の画像が該当のメール。
メールの内容もちゃんとしてるように見える。
飛んだ先のサイトもどうみてもAmazonの公式サイトだったはず。おかしい!
さてここで友人からGoichiにバトンタッチ!
巧妙化する手口の見分け方と防衛方法を紹介
今回のサイトは実に巧妙ですね。
どうみてもAmazonに見えるメールアドレスから、Amazon公式にしか見えないサイトに飛ばしカード情報を入力させている形です。誰もが知っている大企業ならば、カード情報を入力しても大丈夫だろうと錯覚してしまう方も多いでしょう。
しかし実は中身はそっくりに作られた偽サイトで、情報はそっくりそのまま抜き取られて悪用されるというわけですね。
近年、手を変え品を変えこのような悪質なメールが非常によく出回っています。
昔の質の低いスパムメールに慣れている人ほど危険
迷惑メールといえば昔は「青そばテルマ 山にいるね」とか「斧が似合う男性ランキング1位のあなたへ」とか「嵐の櫻井翔です。内緒でメールしてます。」など本当にやる気がるのかふざけているだけなのかよくわからないメールが多かったですよね。
(※余談。そこらへんの面白スパムメールは「SPAM MUSIUM」というサイトに載っているので暇な方は見てみると面白いです。)
が、最近では、楽天やapple store公式を騙るかなりリアルなメールが増えており、ある程度ネット慣れしている人でも油断をすると引っかかりかねないケースが増えてきました。
昔のふざけたスパムメールに慣れていると、私は気をつけているから大丈夫!と、かえって巧妙なサイトを信用してしまう可能性がありますね。
皆様や皆様のご両親がA子と同じような被害に遭わないために、以下より筆者(ごいち)がカード情報抜き取り目的の詐欺メールを見分けて自己防衛する方法を紹介していく。
防衛方法①:本文をよく読み日本語を確認する
フィッシングサイトなど巧妙な手口で大規模に行うのは、海外発祥が多いので、日本語がおかしいことが多いです。
このメールに関してはかなりそれっぽく巧妙に作られていますが、よくよく読んでみると、「期限切れになってるか」「一部が誤ってる故に」「アカウントをログインし」等、誤字や脱字があったり、「残念ながら」など大企業らしからぬ言い回しが目に付きます。
こうした内容のメールは特に注意した方がよいですね。
が、これだけでは確実な見分けとは言い難いですよね。
日本の悪質業者だった場合や、公式からのメール文を丸々コピーしたメールなどさらに巧妙化したものが来た場合この方法では見分けられないかと思います。となると他の方法を考えるしかないですね。
防衛方法②:メールアドレスは公式風でも信じない
表示アドレスをタップして「正式なアドレスを見て安心」は危険。
メールの受信画面でfrom表示がamazonになっていてもアドレス部分をタップ( PCの場合)した際に「info@amaz0n.jp」だったり「amozon.co.jp」だったりはたまた全く違うメールアドレスだったりする場合があります。このケースの場合、一発で見分けられます。
これはよくあるなりすましメールの確認方法ですね。
となると確認して「Amazon.co.jp」からのメールだった場合は安心してアクセスして大丈夫だと思うかもしれません。
しかし近年、さらに偽装側の技術が向上し、メールアドレスが本物の文字列であってもアクセス先が詐欺サイトの場合があり、信用しきれなくなっているのが現状です。
メールアドレスさえ入手できれば、悪徳サイトがカード情報入手目的で巧妙に本物に偽装した詐欺メールを送り放題というわけですね。となると、メールアドレスは正しくとも「信じない」ことが対策になってしまいます。
防衛方法③:メールに表示されているURLを信じないこと
アドレスバーに表示されたアドレスを確認するのはある程度は有用
メールに記載されている「https://www.amazon.co.jp/」の文字をクリックしたにも拘らず、実際のアドレスバーに別のURLが表示された場合フィッシングサイトの可能性が非常に高くなります。
こちらは見分け方法としてある程度は有用ですが、URLそのものを巧妙に本物に近づけているケースもあるため注意が必要です。
偽装の例として、amazonがamaz0nだったりamozonだったり、googleがgoog1eだったりと見間違いを誘発させるようなケースがあります。
あるいはURLにamazonなど正式な文字列が含まれているケースもあるのでURLがホンモノっぽくても注意が必要ですね。
防衛方法④:セキュリティソフトを導入する
PCではウイルスバスターやマカフィーなど購入時にデフォルトでインストールされていることが多く、セキュリティソフトの導入は必要だと考える人が多いかもしれませんが、スマートフォンにおいてはまだまだ導入は浸透しきっていないのが現状かと思います。
最近ではスマートフォンなどモバイルデバイスにおいてもカード等重要な個人情報を入力するケースが増えています。
セキュリティソフトは「危険なメールを自動で迷惑メールに振り分ける」「フィッシングサイトへアクセスしようとするとブロックする」等、迷惑メールのリスクをある程度経験してくれます。
スマートフォンにおいてもセキュリティソフトを導入することが一定の自己防衛策になるのは間違いないでしょう。
防衛方法⑤:Eメールからサイトにアクセスしない
しっかり見分けたつもりでも、巧妙化する手口に騙される可能性がある
メールは偽装がしやすいこともありフィッシングや詐欺目的の悪質なものが蔓延しているのが現状です。
特に近年はネットショッピングをする人が増えているのもあり、「お荷物の不在案内」や「注文商品の発着状況」などいかにもそれっぽい&人によっては心当たりがある内容で攻めてくるものもあり、見分けるのも非常に難しくなっている状況です。
ヤマトからCメールで不在案内が届いたと思ったら詐欺サイトに飛ばされた、というケースも報告がありますね。
中には、「カードの不正利用の恐れがあるため、カード情報の更新をお願いします」なんてやり口も。
不正利用の対応をしているつもりが不正利用のためのカード番号情報を業者に送ってしまうというなんとも皮肉でかなしい詐欺ですね。
サイトも、ソースコードを流用すれば少し手を加えるだけで本物そっくりに作れてしまうので、「どう見ても本物な偽サイト」が存在してしまっているのが現状です。さて。八方塞がり感があるが、どうすればよいのか。
最高にして最大の防衛方法は、以下の通り。
公式サイトにアクセスして確認するのが一番確実
一番の対策は、シンプルに「メールからサイトにアクセスしないこと」そして、メールを経由せず「直接公式のサイトやアプリにアクセスすること」です。つまり、Amazonからカード更新の案内がきた時は、公式アプリや公式サイトにアクセスし直接確認や更新。楽天の案内がきた時も同様に直接公式サイトにアクセスすればよい、ということですね。
シンプルですが、フィッシング詐欺の対策としては、この方法が一番確実です。
メールの内容やURLを見破るテクニックを身につけたとしても、そのテクニックを破る偽装テクニックを身につけた業者が新しく出てきたりするので、完全にいたちごっこになってしまいます。であれば、そもそもフィッシング詐欺の温床であるメールからのサイトアクセスを行わなければよい、というわけですね。
防衛方法⑥:カードの明細は毎月ちゃんと確認すること
こちらは被害を軽減するための方法になりますが、必須級の対策ですね。
今回の件はカード会社側で気づいて連絡をしてくれたからよかったものの、巧妙に不正利用された場合カード会社側で見抜けない場合もあり得ます。不正利用の補償は大抵の会社が2ヶ月前までの対応になるので、請求から2ヶ月間気づけなかった場合は泣き寝入りする羽目になってしまうことも。
数十万の不正利用に気づけなかったりした場合、目も当てられないですよね。
そもそも自分はフィッシングサイトに情報入力をするアホはしない!と安心している人も、飲食店でスキミングされるかもしれないし、どこかで盗み見されていないとは限りません。
抜き取られたカード情報をもとに買い物されてしまうリスクはどこにだってあるのが現代です。
そうしたリスクのことを考えると、万が一のためにしっかり「毎月明細を確認する」習慣が、不正利用のリスク軽減には一番必要なことかもしれません。
まとめ
今回は友人のケースをもとに記事を書いてみました。
- 迷惑メールの本文の文章をよく読んでみる・・・日本語がおかしかったら要注意
- 表示されたメールアドレスが公式風でも偽装できるため信じないこと
- メールに表示されているURLは偽装できるため信じない&アクセスしないこと
- セキュリティソフトを導入することである程度の防止になる
- Eメールからアクセスせず公式サイトから直接ログインして確認
- 不正利用されてしまったらすぐにカード会社に連絡すること
- 万が一不正利用があっても、不正が明らかな場合は支払わなくてよい場合がある
- 万が一のために毎月明細を確認すること
上記の点に気を付けるようにしましょう。
最近ではスマートフォンが普及しているためネットに疎い方も不正メールの被害に遭うケースが増えています。ご両親など心配な方は周知するようにしましょう。
気をつけるといっても難しいかもしれないですが、事例を知っていれば防げることはあると思います。
こちらのブログでは、様々な自己防衛方法はあるものの、
- 一番の防衛策は、メールからサイトにアクセスしないこと。
- 万が一のために、毎月明細を確認すること。
以上が最重要であるとお伝えしました。
不安な方は明日からぜひ実践してほしいテクニックですね。
今後もこのような事例があった場合ブログで周知していこうと思います。