公的機関や銀行になりすまし、電話や音声通話とフィッシングを巧みに組み合わせた新たなサイバー詐欺「ボイスフィッシング(Voice phishing)またはビッシング(Vishing)」が拡大しはじめています。
すでに韓国では大きな被害を出していますが、オレオレ詐欺の土壌がある日本でも今後増加が予想され大変危険です。また海外ではマルウェアと結びついたBazarCall(バザーコール)という手口も広がっています。
ボイスフィッシング(ビッシング)と、その変種のBazarCall、リバースビッシングについて、その特徴と被害を避ける対策を詳しくご説明します。
ボイスフィッシング(=ビッシング)攻撃とは
電話とサイバー攻撃を組み合わせて、より巧妙化したフィッシング詐欺のこと
ボイスフィッシング(Voice phishing)とは、被害者を信用させるため、メールやSMS、偽サイトに電話の音声通話を組み合わせた手口のフィッシング詐欺のことです。
警戒心の強い人でも「声を聴くとつい油断してしまう」隙をついて、メールや不正サイトと組み合わせて、より効果的に情報や金品を盗み取る詐欺で、電話の音声(ボイス=voice)の「V」と詐欺メール(フィッシング=phishing)を組み合わせて、ビッシング(=Vishing)と呼ばれることもあります。
息子に化けてお年寄りをだます「オレオレ詐欺(特殊詐欺)」が「ネットの上の偽サイトや偽企業、不正なアプリ」などのサイバー犯罪と結びついた新たな詐欺手口と理解すれば良いでしょう。
海外ではかなり広がっていて、特に韓国では、プロの詐欺集団による巧妙な手口で、お年寄りが被害を受けるケースが多く、有名タレントの家族も巻き込まれるなど、大きな社会問題となっています。
各国の捜査機関からは、先日犯罪組織が一斉検挙されて撲滅されたEMOTETに代わる深刻なサイバー攻撃として、ボイスフィッシング(=ビッシング)やより悪質のマルウェア「IcedID」の拡大すると警告されています。
2021年3月からパスワード付きZIP添付ファイルから感染するマルウェアIcedID(アイスドアイディー)が拡大し多方面から注意喚起がなされています。ほぼ撲滅されたEMOTETと同様、IcedIDは情報漏えい他多くの被害を生み出す危険な[…]
オレオレ詐欺や訪問販売詐欺など、電話を使った詐欺犯罪の土壌があるわが国では、高齢者を狙った詐欺として、ボイスフィッシングが今後広がってくると予想されます。
ボイスフィッシング(=ビッシング)攻撃の実態
1.金融機関やテクニカルサポートを偽った電話がかかってくる手口
電話やSNSのメッセンジャーを使った詐欺
韓国で3年間で1000億円もの大きな被害をもたらした手法です。
金融機関や公的機関を名乗り「有利な金利の預金勧誘」「破格の投資話」の電話勧誘から、公的機関をよそおって「あなたの銀行口座が不正利用された。至急確認したい」など言葉巧みに個人情報や口座情報を聞き出して、お金を引き出されてしまいます。
口実として使われるのは、金融機関、税務署など公的機関、電気製品のテクニカルサポート、テレマーケティング(電話販売)などです。
オレオレ詐欺に似た方法ですが、人を使ってお金を盗むのではなく、
- 金融機関や公的機関の精巧な偽造サイトに誘導してアカウント情報を入力させて盗み取る。
- だまして不正なアプリをインストールさせてスマホ内の情報を盗む
といったサイバー犯罪と組み合わせることで、犯人にとっては、安全で犯行発覚を遅らせることができるように、巧妙に計画されていることに特徴があります。
また、有名なIT企業やセキュリティ企業をかたり「あなたのパソコンから不正アクセスを検知しました」「ウイルスに感染しています」等と、カスタマーサポートをよそおう手口も確認されています。
自動音声通話(ロボコール)による誘導
電話に出ると、自動音声のメッセージが流れ、
「不正なアクセスがあった」
「不正に口座から引き落としが発生した」
などと伝えられ、
「被害を防止するために」
「本人確認のため」
などと称してパスワードなどのアカウント情報を聞き出す手口です。
ネット上で入力を求められたり、人間との会話だと「怪しい」と疑う人でも、「相手が人工音声だとうっかり信じて伝えてしまう」心理の盲点を突いた攻撃です。
2.被害者をだまして問合せ先電話に電話させる手口
メールやSMSを使った詐欺
もっともらしい理由を記載したメールやSMSを送りつけ、文中の電話番号に電話させる手口です。
電話をさせる口実は「身に覚えのない領収書/請求書」「あなたの支払に不審な点があった」「キャンペーンに当選した」「Amazonだが配送先を確認したい」などいろいろな手口がありますが、共通して連絡は電話だけが指定され、電話番号が目立つように記載されています。
電話すると、上記1.のようにオペレーターに扮した詐欺師や、自動音声によって、詐欺被害に誘導されます。
詐欺師から連絡をよこすビッシング(=Vishing)に対して、こちらから仕向けられて電話してしまうため、リバースビッシング(=Reverse Vishing)とも言われます。
現在もっとも広がっている手口では、下記のようなSMSやメールが多く発信されています。
有名企業からの身に覚えのない領収書、請求書を送りつけ電話させようとする手口
以下のように一見正当なオンライン販売の領収書のようなメールが届きます。
よく読むと商品名があいまいだったり、不自然な日本語など怪しさもありますが、「身に覚えのない請求を受けたら困る」と不安に思い、記載の電話番号に問いあわせをしてしまいそうになります。
件名:49000円の支払いに成功 !
トレンドマイクロ株式会社 からの領収書
領収書#846 757290584536
親愛な ,
払込金額 支払日 支払方法 49000円 2021年6月17日 自動引き落とし
概要 トレンドマイクロの最大セキュリティ2021 49000円 料金 49000円
ご不明な点がございましたら、 (050) 3138-8383 SMSに何か問題がありますか?
ご注文はデジタル配信されましたので、お知らせいたします。 ご注文に至らなかった場合は、お電話ください。(050) 3138-8383
こんにちは ○○○@gmail.com ! ,
49000円 ご注文ありがとうございます
これは領収書です。記録のために必ずコピーを保存してください。 カスタマーサポート番号 050-3198-9272
ご注文情報:注文番号:8475766316593 数量:01
説明:トレンドマイクロ 価格:49000円 合計:49000円
製品ID:GUTYU-YGHYG-VFHRY-VJFTG 注文日:2021年6月22日
配送方法:オンライン お支払い方法:クレジット/デビットカード
最近ご購入いただきありがとうございます。銀行の明細書には、今後6営業日以内に請求される金額が反映されます。異議がある場合は?返金またはご注文の変更、またはご質問やご提案がございましたら、
050-3198-9272 までお問い合わせください。
24時間以内に注文をキャンセルしてください。キャンセルしない場合、払い戻しには45営業日かかります。
キャンペーンや抽選の当選を装って電話をかけさせようとする詐欺SMS
家電現金などが貰える番号くじ、あなた様の電話番号でラッキークジ開催中。電話をかけて当選確認できます
これらはすべてあなたに電話をかけさせるためのワナですから、決して電話したりSMSで返信してはいけません。
ここに記載された「050-3138-8383」「080-8548-8205」「090-3264-1492」の番号は、いろいろな文面で多くのボイスフィッシングに使用されている危険な番号ですので、十分にお気をつけ下さい。
3.Googleマップを悪用して偽の電話番号に電話させる手口
店名やサービス名を検索すると、店の地図や電話番号が表示される「GoogleマップのGoogleマイビジネス」を悪用して、検索して問い合わせてきた人を詐欺に誘導する手口も確認されています。
「Googleマイビジネス」は記載されている情報は、実は所有者に無関係な第三者でも修正することができてしまうため、必ずしも「記載内容が正しい」とは言えません。
面倒でも、別途検索して、本物のサイトを訪問して真偽を確認するようにしましょう。
4.不正なネット広告、ポップアップ警告から誘導する手口
スマホやパソコンの画面にいきなり「システムが破損しています」「ウイルスに感染しています」などの偽の警告を表示させて、画面記載の電話番号に電話させて、不要なセキュリティソフトやサービスに加入させる手口です。
これもボイスフィッシングの一種ですが、対処方法が他とは大きく対応が異なります。
詳しくは当プログの下記記事をご覧下さい。
パソコン画面にマイクロソフトなどを名乗る「不審なアクティビティをWindowsがブロックしました」「インターネットセキュリティの警告」「トロイの木馬」などのアラート警告と警告音、さらには「あなたのPCはダイニーバンクトロイアンに感染していま[…]
また警視庁の捜査員がサポート詐欺に実際に電話して手口を解明する動画も掲載されています。 「中国語なまりの犯人の会話」が収録されていてリアルで非常に参考になります!
ボイスフィッシング(ビッシング)を使った新しい攻撃「BazarCall」とは?
フィッシングメールとコールセンターの会話を組み合わせた巧みな攻撃のこと
まだ日本では確認されていませんが、海外では新たなボイスフィッシングが広がっています。
それは、BazarCall(バザーコール=「販売店からの電話」の意味)というサイバー攻撃を組み合わせた巧みな攻撃手法です。
「ここまでやるか!」海外で潜行するBazarCallの巧みな犯行の手口
BazarCallは「見に覚えのないサブスク契約のメール」が届くことから犯行がはじまる。
BazarCall(バザーコール)攻撃は、以下のようにメールとオペレーターの音声案内を組み合わせて、被害者にマルウェアが仕込まれたファイルを開かせ、BazarLoaderと呼ばれる悪質なマルウェアなどの不正なプログラムを感染させて、被害者のパソコンに不正侵入する巧みな攻撃です。
攻撃は見に覚えのない請求書が送られてくることからはじまり、ていねいなコールセンターの電話対応や、精巧に作られた偽サイトを舞台に、以下のように巧みに行われます。
- 医療サービスなどの「無料試用期間終了の通知」や「サブスクリプション料金の請求書」メールが届く。組織名や問合せ先も明示されていて特に不審な点はない。
- 見に覚えがないため、メールに記載された「サブスクリプションのキャンセル電話番号に電話」するとオペーレーターがていねいに対応する。
- オペレーターにメールに記載された顧客IDを伝えるとキャンセルするためには、「別途送られる案内メールを見る」か「口頭でURL」を伝えられる。
- 案内メールに記載、または口頭で聞いたURLをクリックすると、キャンセルページに誘導され、そこで顧客IDを入力すると、「会員登録解除」ボタンが表示される。
- 「会員登録解除」を押すと、「キャンセルするには書類をダウンロードしてデジタル署名をするよう」説明され、WordまたはExcelのファイルのダウンロードが求められる。
- ダウンロードしたWordまたはExcelファイルを開こうとすると「コンテンツを有効化するか?」のセキュリティ警告が表示されるが、あらかじめオペレーターやメールで「有効化する」と案内されていたため、ユーザーは疑いなく「有効」にしてしまう。
- WordまたはExcelファイルのマクロ機能によりに、ファイルに仕込まれたBazarLoaderなどのマルウェアに感染してしまうが、ユーザーは何も気がつかず、会員登録がキャンセルできたと信じ込んでしまう。
- その後外部より犯人にマルウェアを操作されて、知らないうちに情報流出など様々な被害にあう
偽造されたメールの添付ファイルから感染するマルウェアEMOTET(エモテット)が猛威を振るっています。検査をすり抜けるZIPで暗号化されたものも増えました。2021年1月27日に欧州刑事警察機構の捜査によりEMOTETをコントロールしていた[…]
BazarCallの被害を防ぐには
BazarCallの対策も、フィッシングメール対策の基本である
「メールを件名や本文だけで信用しない」
またウイルスやマルウェア対策の原則の
「添付ファイルを安易に開かない」
「コンテンツ有効化のボタンは絶対に安全な場合以外はクリックしない」
が有効ですが、2つサイバー犯罪を結びつけ、さらに人間のオペレーターが声で巧みに案内することで、警戒心が薄れて、被害にあってしまいます。
まさに人の心理を巧みに突いた危険な攻撃方法です。
これからボイスフィッシング攻撃が増える理由
フィッシング詐欺は2019年以降増え続けていますが、対策も進んでいます。
フィッシング詐欺の手口についてかなり認知されてきたほか、スマホ、パソコン、サービス提供企業の努力によって、フィッシングメールや不正サイトは速やかに発見されて、ユーザーがアクセスしないように遮断されるようになりました。
今では、きちんと対策されたサービスやスマホを使うと、フィッシングメールに記載された不正サイトへ誘導するURLはすぐに削除されるか、厳しく警告されてしまいます。
今までのフィッシング攻撃方法では、なかなか犯罪が成功しなくなったため、犯人は新しい方法として、不正と見分けにくい、電話番号を悪用するようになってたのです。
また、ユーザーの「メールやURL、添付ファイルは怪しいけど、電話なら自ら確認できるから安心だろう」の思い込みや心理も悪用されています。
ボイスフィッシング攻撃の被害にあわないための4つの対策
1.メールやSMSに記載された電話番号を信じない
「不審な添付ファイルは開かない」
「メールやSMSに記載されたURLはクリックしない」
「必ず検索して、本物のサイトを確認する」
はフィッシング詐欺にあわないための原則ですが、電話番号も同じように扱いましょう。
銀行や公的機関を名乗る相手が携帯電話番号や050ではじまるIP電話では、かなり怪しいと気がつきます。
また電話番号を検索すれば、不審な番号は以下のように容易に判別できます。
2.携帯電話に迷惑電話通知サービスを加入する
携帯電話各社が提供しているセキュリティサービスは、メールのウイルス除去などに加えて、着信した電話番号に危険がないか判定してくれる「迷惑電話対策」機能がついています。
しつこいセールス、詐欺・架空請求などが着信時にあらかじめ分かるため、非常に安心なサービスです。
価格も安価なため、ぜひ加入されるようおすすめします。
■NTTドコモ あんしんセキュリティ
3.電話事業者の番号通知サービスを契約する
電話事業者各社は「非通知の電話番号を受け付けない」サービスを提供しています。
これらのサービスに加入することで、身元を明らかにしない電話を自動的に拒否することが可能ですので、必ず設定しましょう。
■NTTドコモ 番号通知お願いサービス(無料)
■ソフトバンク 番号通知リクエストサービス(有料100円/月)
■NTT ナンバー・リクエスト(有料)
4.公式アプリストア以外から、アプリは決してインストールしない
ボイスフィッシングの手口の特徴は、詐欺犯による会話だけでなく、被害者をだまして不正なアプリをインストールさせ、継続的に大切な情報の窃取を狙うことにあります。
AndroidもiPhoneも、いかなる場合でも、公式ストア以外からアプリをインストールしてはいけません。
iPhoneは公式ストアのApp store以外からアプリを入れることはできませんが、Androidは設定を変えることでできてしまいます。
Androidユーザーの方は、詐欺犯の巧みにな言葉にだまされて、設定を変更して、不正なアプリを入れることのないよう十分に注意してください。
5.固定電話は廃止を検討する
固定電話を長くお使いの方は、かつて電話番号が公開されていた影響で、電話番号は間違いなく流出しています。
そのため、今固定電話にかかってくる電話の大半は営業電話か不審な電話といっても言いすぎではないと思います。
携帯電話の方がセキュリティ機能も充実していますし、電話番号も流出する可能性が低いです。
特にご年配の方には固定電話はリスクでしかないと考えられますので、セキュリティ確保の観点から解約もご検討下さい。
詳しくはぜひ下記の当社ブログ記事をご参照ください。
NTTの電話帳「ハローページ」の廃止が発表されました。携帯が普及し、固定電話の番号が詐欺で使われるなど弊害が目立つ現在、もう電話帳はいらないと思います。電話帳以外にも電話番号は様々なルートで収集されて悪用されています。いったん流出した電話番[…]
6.電話で重要情報を伝えない
そもそも詐欺が横行する現代では、まともな企業は電話で重要情報を聞き取るようなビジネスは行いません。
クレジットカード番号、暗証番号、パスワード、免許証・マイナンバーカード情報、などの最重要個人情報を電話で伝えることは拒否しましょう。
どうしても必要なときは、メールやSMS、口頭で伝えられた電話番号は信じず、正しい電話番号を別途調べて、こちらから電話をかけて成否を確認するなど伝えるなど、慎重に対応して下さい。
6.電話で重要情報を伝えない
特にパソコンやスマホのサポートを名乗る詐欺では、「トラブルを修正するために、リモート(遠隔操作)をするアプリを入れよう」と言葉巧みに勧誘されることがあります。
遠隔操作アプリを入れられてしまうと、こちらの情報が筒抜けになるため、きちんとした契約が必要です。
まともな業者が口頭で遠隔操作アプリを入れようとすることはありません。
すぐに電話を切って相手にしないようにましょう!
パソコンに突然「マイクロソフトセキュリティアラーム」「トロイの木馬ウイルスに感染して攻撃されています」「不審なアクティビティが原因で windows がブロックされました」などのアラートや警告音が流れ、至急Windowsサポートサービスに電[…]
ご自身のメールアドレスやパスワード、電話番号が流出していないか調べるには?
定評ある「個人情報流出確認WEBサービス~Have I been Pwned(HIBP)」をおすすめします。
無料で簡単・確実にチェックしてくれます。
詳しくは当社の下記ブログ記事をご覧ください。
これまで無数の企業やサービスから個人情報が流出していますが、「自分の電話番号やメールアドレス、パスワードの流出をチェックできるサービス」の中で、もっとも信頼でき安全な確認サイトが「HIBP~Have I been Pwned(私はやられてい[…]
まとめ:
「電話も安全ではない」ことを再認識しましょう
アナログな音声や声で手軽に内容が確認できる電話はつい信用してしまいます。しかし詐欺師が昔から電話を巧みなテクニックによって悪用してきたことは決して忘れてはいけません。
さらに「電話にデジタル」が加わることで、ますます真偽が分かりにくくなってしまうため、一層の警戒が必要です。
「固定電話のリスク回避」も含めて、改めて電話の持つ危険性についても再認識してください。
「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?
ネット上のデマや悪質業者の広告を信じてはいけない!
当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。
しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。
「本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。
しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。
より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。
おすすめのハッキング調査会社:デジタルデータフォレンジック
デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。
累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。
相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。
