fbpx

JCBのフィッシング詐欺メールをクリックしてみたら?~超精巧な偽造サイトのだましのテクニック

JCBを狙うフィッシング詐欺
近年激増している有名ブランドの詐欺・フィッシングメールの中で、JCBをかたるものは6位と上位です。
JCBの詐欺メールは
巧妙で、見ただけでは見分けることが難しく、クリックした先の詐欺サイトも極めて精巧なため簡単にだまされてしまいます。
実際に届いたJCBのフィッシングメール元に、見破るポイントや対策、また「実際にクリックしたらどんなサイトに誘導されるか」をご説明します。
/ins>

有名ブランドををよそおうフィッシング詐欺メールや、不正なショートメールが激増中!

2021年1月のフィッシング対策協議会の発表によると、2020年12月のフィッシング報告件数は、前月より1204件(+3%)増え30967件となりました。
増加率はやや減ったとは言え、依然として高い水準にあります。

フィッシング詐欺メールのブランド別の件数では、「Amazon、三井住友カード、楽天、MyJCB、アプラス(新生銀行カード) 、MY JCB」の順で全体の86%を占めています。

信販系や地方銀行をかたる新たなフィッシングが増えていますので、対象となる利用者数も増えて危険が高まっています。

多くの方がお使いのGmailやOutlookのようなメールサービスや、ご加入のプロバイダーのメールセキュリティサービスの防御効果により、フィッシング詐欺メールの大部分は「迷惑メール」として除去されているはずです。

しかしフィッシングメールの偽装が巧妙化すると、防御をすり抜けてお手元に届く危険性も高まり、十分な注意が必要です

2020年12月のフィッシング報告件数■引用:フィッシング対策協議会「2020/12フィッシング報告状況」より

当ブログ関連記事

フィッシング詐欺のメールやSMS(ショートメッセージ)は、コロナの混乱狙いで激増しています。特に宅配便の不在通知を装う詐欺SMSはうっかりクリックしやすく危険です。しかし正しい知識と基本的な対策があれば恐れることはありません。「もし[…]

フィッシングSMSのイメージ

JCBフィッシング詐欺メールの目的は個人情報の不正取得

目的は個人情報の不正取得

JCBのフィッシング詐欺メールの目的は、

ユーザーを信じ込ませてメール本文中のurlをクリックさせ、偽造された詐欺サイトに誘導し、個人情報入力させて盗み取る。

ことにあります。

JCBのフィッシング詐欺メールも過去のAmazonなどのフィッシングメールと同様、

  1. 「アカウントの詳細確認」「サインインの本人確認」「セキュリティ警告」などの名目でメール文のURLをクリックさせ、精巧なJCBの偽造サイトに誘導。
  2. ユーザー自らに「カード番号他の個人情報」を入力させて情報を盗取する。

といった手口であり、現在まで確認されているメールの内容は、JCBによると、「My JCBからの通知」や、「カードの再発行受付通知からアカウントロック」まで多岐にわたっています。

詳細は、JCBのヘルプサイト 「JCBを名乗る怪しいEメールが届きました」をご覧ください。

 

フィッシング詐欺犯は人の心理を巧みにあやつっている

人は誰でも「不安を感じても、自分にだけは悪いことは起きないだろうと楽観的に考えてしまい(楽観バイアス)、すぐに何らかの利益や成果を得ようとする」心理上の弱点を持っています。

この心理状態を双曲割引(そうきょくわりびき)といいます。

JCBのフィッシングメール詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。

 

JCBを装うフィッシング詐欺メール

JCBを狙ったフィッシング詐欺メールはレベルが高い

Amazonや楽天の詐欺メールは変な日本語ですぐに見分けがついたが、、、、

フィッシングメールは、海外から送付されることがほとんどです

犯人は「フィッシングメールの作成キット」をブラックマーケット(ダークウェブ)で購入し、カスタマイズして犯行に及びます。
しかし海外製のため、文面は外国語で書かれており、日本向けに翻訳作業が必要でした。

恐らく当初は機械翻訳などで翻訳していたため、不自然な日本語が目立ち、すぐに「怪しいメールだ!」と見分けることができました

後発のJCBフィッシング詐欺メールはいきなり完成度が高く危険

ところがフィッシングメールとしては後発のJCBのフィッシング詐欺メールでは、犯人達は十分に経験を積んでいるため、下手な日本語などは見当たらず、以下のようにレイアウトも文面も不審な点がなく精巧なフィッシングメールが送られています。

件名:いつも弊社カードをご利用いただきありがとうございます。

昨今の第三者不正利用の急増に伴い、弊社では「不正利用監視システム」を導入し、24時間365日体制でカードのご利用に対するモニタリングを行っております。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
■ご利用確認はこちら
https://my-jcb.thewoodpanellingcompany.com/index/○○○.html
■発行者■
株式会社ジェーシービー セキュリティーデスク
電話番号 : 0120-520-312(日本国内から 通話料無料) 0422-40-8645(海外から コレクトコール可(※1))
※1ご滞在国の国際電話のオペレーターを呼び出し、コレクトコールを依頼してください。
営業時間 : (平日)9:00AM?8:00PM、(土?日?祝)9:00AM?6:00PM (いずれも年中無休)
※上の営業時間外でもお電話は24時間つながります。営業時間外は、
JCBオーソリセンターにてご利用内容の確認をさせていただきます。
※本メールに直接返信されましても対応できません。
※お問い合わせは上の電話番号までご連絡をお願いいたします。
===================================
本メールに掲載されているすべての記事、文章等の無断転載を禁止します。
著作権はすべて、株式会社ジェーシービーに帰属します。 Copyright (C) JCB Co.,Ltd. All rights reserved.

 

 

もしもJCBのフィッシング詐欺メールをクリックしたらどうなる?

非常に精巧にできたJCBの詐欺ログインサイトに誘導される

上記のJCBからのフィッシング詐欺メールの文中のURLをクリックすると、精巧に作られた以下のような詐欺サイトに誘導されます。

1.ごていねいにセキュリティチェックページに誘導される

驚いたことに、本物のJCBサイトにはない「セキュリティチェック」のページが開きました。

「CAPTCHA認証」とは、人間しか分からない画像を使った認証方法で、セキュリティを厳重に管理しているサイトにログインする際に使われる手法です。

偽のJCBサイトでは、この「CAPTCHA認証」が使われ、しかも信用させるためにか、2種類のチェック方法が重ねて使われていました

「CAPTCHA認証」自体は利用資格がいるわけでもなく、サイトに組み込むことは誰でもできますが、サイトの信頼性を演出するには効果的な方法で、信用してしまう人が出てしまいそうです。

JCBのフィッシング詐欺メールをクリックしたらどうなる?~実物よりよくできた詐欺のセキュリティページ

 

2.精巧な偽の「MY JCBログインページ」が開く

本物のJCBの「MY JCB」サイトをそっくり再現した偽ログインサイトが開きます。

IDとパスワードは何を入力してもログインできて次の画面に進みます。つまり情報盗取だけを狙った詐欺サイトなのです。

JCBのフィッシング詐欺メールをクリックしたらどうなる?~実物そっくりの詐欺ログインページ

 

3.偽の「カード情報・有効期限入力ページ」が開く

本物のJCBの「MY JCB」サイトを再現した偽ページが開きます。

信じてカード番号や有効期限を入れると盗まれてしまいます。

JCBのフィッシング詐欺メールをクリックしたらどうなる?~情報を盗み取る実物と同じ詐欺ページ

 

4.偽の「カード情報・有効期限入力ページ」が開く

本物のJCBの「MY JCB」サイトを再現した偽ページが続きます。

情報を盗むだけが目的ですから、何を入れても次へ進みます。こうして盗取された情報が、いろいろな不正ログイン事件に悪用されてしまうのです。

JCBのフィッシング詐欺メールをクリックしたらどうなる?~個人情報まで盗み取る詐欺ページ

 

5.いきなり「サイトのメンテナンス中」を告げる画面が開く

入力内容を確認できるはずが、いきなり「メンテナンスのためサイトが停止中」のページが開きます。

犯人は盗み取れるすべての情報が入手できた為、「もう用はない」と言うことなのでしょう。

人によっては「メンテナンスならしかたがないな」と不審に思わず終わってしまうかもしれず、詐欺としては巧みな方法です。

JCBのフィッシング詐欺メールをクリックしたらどうなる?~情報を盗み取ったら「メンテナンス」とばっくれる詐欺サイト

 

JCBの詐欺メールをクリックしたり、ログインしてしまった時は?

クリックしただけなら心配ない

クリックすると、上記のように偽の「MY JCBページ」が開き、セキュリティ認証からログインを求められます。

しかし、そこから「自分で情報を記入する」など、だまされて行動しない限り心配はありません

また、今のスマホやパソコンは、

  • 信頼できるセキュリティソフトを導入しておく。
  • OSやアプリ、サフトは常に最新版に更新しておく。 

という基本的なことを守っていれば、サイトを開いただけで不正プログラムに感染するという事はまずありません。

「ログインしてしまった」「情報を入力してしまった」時は?

至急JCBに連絡しましょう。

カードが不正利用される危険性が高いです。

大至急24時間いつでも対応してくれるJCBの緊急デスクに連絡して、カード使用を止めましょう。
連絡先は以下をクリックしてご確認ください。

JCBサイト: 「盗難紛失のご連絡

他のアカウントでの被害を防ぐ

同じパスワードを、他のサービスで使い回していて乗っ取られるリスクも高いです。

パスワードを使い回していた場合は、JCBに連絡後、「すべてのパスワードを独自のものに変更」してください。

ブログ内の関連記事(新しいウィンドウで開きます)

誰もがついやっている「同じパスワードの使い回し」。どうしてパスワードの使い回してはいけないのか? 危険性を具体的な事件の実例と共にご説明します。「パスワードの使い回し」は、被害に直結するデジタルの使い方では最悪のリスクです。きっぱりやめまし[…]

クリックして何かのソフトやツールをダウンロードし入れてしまった時は?

少しでも不安を感じたら、大至急パソコンやスマホをセキュリティーソフトで検査しましょう!

「マルウェアや不正ソフト/アプリをインストールされてしまったかも?」と思ったときはすぐ検査

少しでも不審な点を感じたときは、信頼できるセキュリティソフトでパソコンやスマホを検査して駆除することが、個人ができる最も確実な対策です。

もしもまだ信頼できるセキュリティソフトをお持ちでないときは、以下のような無料で使える大手の定評あるセキュリティ対策ソフトを導入して対応しましょう。

※どの製品も30日程度、製品版と同等に無料で試用ができますので、不正なアプリやマルウェアがインストールされていないかスキャンして調査、発見された場合は駆除してください。

※セキュリティ対策ソフトはあなたを守ります。無料試用後も引き続きお使いになるよう強くお薦めします

またスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう

 

JCBの詐欺フィッシングメールを避けるにはどうしたら良いか?

メール本文のURLやボタンはクリックしない

JCBの詐欺フィッシングメールなど今のフィシングメールは精巧で見分けがつきません。

こうなると、「安全のため、原則としてメールの本文中のクリックはしない」しかありません。

内容に不審点があれば、JCBのサイトを検索して訪れ、手続きしましょう。

オンラインでURLやファイルをスキャンしてくれるサービスもあります

届いたメールの不審なURLや添付ファイルをスキャンしてくれるオンラインサービスがあります。

おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。

上のメールをVIRUSTOTALを使ってスキャンすると?

JCBのフィッシング詐欺メールをVIRUSTOTALでスキャン検査する方法

即座に「偽サイト」と判定してくれる

JCBのフィッシング詐欺メールをVIRUSTOTALでスキャン検査するとすぐに詐欺サイトと判明した

VIRUSTOTALの詳しい使い方は以下の当社ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]

 

 

まとめ:
これからもJCBからのメールには十分に注意しよう

JCBに限らず、フィッシング詐欺メールはこれからも増え続けるはずです。

しかしフィシングメールは、どのブランドをかたるものも手口のパターンは同じなので、正しい知識と対処方法を知っていれば、まずだまされる心配はありません。

当プログを参考に、これからも金融機関や販売サイトからのメールゆSMSには十分に注意を払い続けましょう。

 

あわせてご覧ください!「Amazonのフィッシング詐欺メール」は?

ブログ内の関連記事(新しいウィンドウで開きます)

近年有名ブランドをかたる詐欺・フィッシングメールは激増中ですが、中でもAmazon をかたるフィッシングメールが被害の大部分を占めています。またAmazonをよそおう不正なショートメール(SMS)も増えています。しかもフィッシングの手口[…]

Amazonをかたるフィッシング詐欺メールのイメージ

「楽天のフィッシング詐欺メール」は?

ブログ内の関連記事(新しいウィンドウで開きます)

激増中の有名ブランドをかたる詐欺・フィッシングメールの中で、楽天をかたるフィッシング詐欺メールはAmazon、LINEについで第3位の多さとなっています。楽天の詐欺ショートメッセージも増えてきました。実際に届いた楽天や楽天カードからのフ[…]

楽天のイメージ

性的な行為をネタに脅してくる詐欺「セクストーション」とは?

ブログ内の関連記事(新しいウィンドウで開きます)

「人の弱みにつけ込む」は詐欺の常套手段ですが、オンラインでも多発しています。これらの詐欺は、知っていればだまされませんが、初心者や年配者といったデジタル弱者がまじめに受け取ってカモになってしまう例が多発しています。今回は主に[…]

セクストーション詐欺のイメージ

シニアの方にも共有しましょう

ブログ内の関連記事(新しいウィンドウで開きます)

家にこもってスマホやパソコンを使う時間が増えましたが、その「隙を狙おうとするネット詐欺」も激増しています。特にネットに不慣れなシニア、高齢者の皆さんは大きなリスクにさらされます。シニア・高齢者の皆様が直面しがちな、いろいろな[…]

ネット犯罪に巻き込まれて驚くsenior・中高年のイメージ

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

今ではWindows10のようなOSは標準でセキュリティ機能(Windows Defender)が含まれており、コンピューターウイルスやマルウェアの侵入を防御してくれますが、機能は基本的なものに留まります。

セキュリティを専門とするソフトは、より強力な防御力と、さまざまな追加機能によってあなたとご家族を守ってくれます。

たとえば

  • フィッシングメールに惑わされてうっかりURLをクリックしても「警告して先に進むことを止める」。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • 子供のネットの利用時間や不健全なサイト利用を制限する。
  • スマホを紛失時に探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

セキュリティソフトの選び方、買い方

いろいろなセキュリティソフトがありますが、選択に当たっては、価格や広告上の性能だけでなく、

  • 老舗で世界各国で使用されてきた実績が豊富で、ユーザー数の多く、消費者向けだけではなく、企業向けにも実績のあるもの
  • ご本人のパソコンだけでなく、ご家族のスマートフォン、タブレットもすべてカバーできるもの
  • 運営会社が信頼でき、国家からの干渉がなく、データの保全が図られるもの
  • 動作が軽く、機器の使用に障害がないもの

を選択してください。

また、パソコンだけでなく、タブレットやスマホまで、トータルでカバーする製品が望ましいです。こうしておくと「機械に不慣れな奥様がスマホを紛失した際にご主人が探し出す」事など家中の機器をもれなく一括してセキュリティ管理できてしまいますし、個別に揃えるより費用が大幅に安くなります。

購入に当たっては、店頭で箱に入っているパッケージ版より、ダウンロード販売の方がずっと価格も安く、ご自宅の環境に併せて、利用できる機器の数や機能を選択できるためはるかに便利です

家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーで無料の30日間体験版がダウンロードできます。使ってみて性能を実感してみてください。