fbpx

新手の詐欺「ボイスフィッシング/ビッシング/BazarCall」攻撃のすべて~巧みな手口と対策

新手の詐欺「ボイスフィッシング/ビッシング攻撃」のすべて
音声通話とフィッシングを巧みに組み合わせた新たなサイバー詐欺「ボイスフィッシング(Voice phishing)」が拡大しはじめています。
すでに韓国では大きな被害を出していますが、オレオレ詐欺の土壌がある日本でも今後増加が予想され大変危険です。また海外ではマルウェアと結びついたBazarCall(バザーコール)という手口も広がっています。
ボイスフィッシングと、その亜流のBazarCall、ビッシングやリバースビッシングについて、その特徴と被害を避ける対策を詳しくご説明します。
/ins>

ボイスフィッシング攻撃とは

声を使って、より巧妙化したフィッシング詐欺のこと

ボイスフィッシング(Voice phishing)とは、被害者を信用させるため、詐欺メール(フィッシング=phishing)や詐欺SMS(スミッシング=Smishing)に、音声の電話を組み合わせた手口のネット詐欺のことです。

電話の音声(ボイス=voice)の「V」と詐欺メール(フィッシング=phishing)を組み合わせて、ビッシング(=Vishing)と呼ばれることもあります。

息子に化けてお年寄りをだます「オレオレ詐欺(特殊詐欺)」が「ネットの上の偽サイトや偽企業、不正なアプリ」などのサイバー犯罪と結びついた新たな詐欺手口と理解すれば良いでしょう。

海外ではかなり広がっていて、特に韓国では、プロの詐欺集団による巧妙な手口で、お年寄りが被害を受けるケースが多く、大きな社会問題となっています。

今後国内でも広がってくると予想されています。

ボイスフィッシング攻撃の実態

1.金融機関やテクニカルサポートを偽った電話がかかってくる手口

電話やSNSのメッセンジャーを使った詐欺

韓国で3年間で1000億円といわれるほど大きな被害をもたらした手法です。

金融機関を名乗った「有利な金利の預金勧誘」「破格の投資話」の電話勧誘から、公的機関をよそおって「あなたの銀行口座が不正利用されたので至急確認したい」など言葉巧みに個人情報や口座情報を聞き出して、お金を引き出されてしまいます。

オレオレ詐欺に似た方法ですが、電話で聞き出すのではなく、

  • 金融機関や公的機関の精巧な偽造サイトに誘導してアカウント情報を入力させて盗み取る。
  • だまして不正なアプリをインストールさせてスマホ内の情報を盗む

といったサイバー犯罪と組み合わせることで、すぐには不正に気がつかないよう巧妙によそおっていることに特徴があります。

また、有名なIT企業やセキュリティ企業をかたり「あなたのパソコンから不正アクセスを検知しました」「ウイルスに感染しています」等と、カスタマーサポートをよそおう手口も確認されています。

自動音声通話(ロボコール)による誘導

電話に出ると、自動音声のメッセージが流れ

「不正なアクセスがあった」
「不正に口座から引き落としが発生した」

などと伝えられ、

「被害を防止するために」
「本人確認のため」

などと称してパスワードなどのアカウント情報を聞き出す手口です。

ネット上で入力を求められたり、人間との会話だと「怪しい」と疑う人でも、「相手が人工音声だとうっかり信じて伝えてしまう」心理の盲点を突いた攻撃です。

 

2.被害者をだまして問合せ先電話に電話させる手口

メールやSMSを使った詐欺

もっともらしい理由を記載したメールやSMSを送りつけ、文中の電話番号に電話させる手口です。

電話をさせる口実は「あなたの支払に不審な点があった」「キャンペーンに当選した」「Amazonだが配送先を確認したい」などいろいろな手口がありますが、共通して連絡は電話が指定され、電話番号が記載されています。

電話すると、上記1.のようにオペレーターに扮した詐欺師や、自動音声によって、詐欺被害に誘導されます。

詐欺師から連絡をよこすビッシング(=Vishing)に対して、こちらから仕向けられて電話してしまうため、リバースビッシング(=Reverse Vishing)とも言われます。

現在もっとも広がっている手口では、下記のようなSMSやメールが多く発信されています。

ボイスフィッシング(Vishing)の詐欺SMS「家電現金などが貰える番号くじ、あなた様の電話番号でラッキークジ開催中。電話をかけて当選確認できます

「家電現金などが貰える番号くじ、あなた様の電話番号でラッキークジ開催中。電話をかけて当選確認できます」

ここに記載された「080-8548-8205」「090-3264-1492」の番号は、いろいろな文面で多くのボイスフィッシングに使用されている危険な番号ですので、十分にお気をつけ下さい

3.Googleマップを悪用して偽の電話番号に電話させる手口

店名やサービス名を検索すると、店の地図や電話番号が表示される「GoogleマップのGoogleマイビジネス」を悪用して、検索して問い合わせてきた人を詐欺に誘導する手口も確認されています。

「Googleマイビジネス」は記載されている情報は、実は所有者に無関係な第三者でも修正することができてしまうため、必ずしも「記載内容が正しい」とは言えません。

面倒でも、別途検索して、本物のサイトを訪問して真偽を確認するようにしましょう。

4.不正なネット広告、ポップアップ警告から誘導する手口

スマホやパソコンの画面にいきなり「システムが破損しています」「ウイルスに感染しています」などの偽の警告を表示させて、画面記載の電話番号に電話させて、不要なセキュリティソフトやサービスに加入させる手口です。

マイクロソフトからの警告をよそおうサポート詐欺

これもボイスフィッシングの一種ですが、対処方法が他とは大きく対応が異なります。

詳しくは当プログの下記記事をご覧下さい。

ブログ内の関連記事(新しいウィンドウで開きます)

画面にマイクロソフトやマカフィーなどを名乗る「不審なアクティビティをWindowsがブロックしました」「インターネットセキュリティの警告」などの警告が出てけたたましい警告音が鳴り、「この警告を無視しないで」と問合せ電話番号が表示されることが[…]

 

ボイスフィッシングを使った新しい攻撃「BazarCall」とは?

フィッシングメールとコールセンターを組み合わせた巧みな攻撃

まだ日本では確認されていませんが、海外では新たなボイスフィッシングが広がっています。

それは、BazarCall(バザーコール=「販売店からの電話」の意味)というサイバー攻撃を組み合わせた巧みな攻撃手法です。

「ここまでやるか!」BazarCallの巧みな犯行の手口

BazarCallは「見に覚えのないサブスク契約のメール」が届くことから犯行がはじまる。

BazarCall(バザーコール)攻撃は、以下のようにメールとオペレーターの音声案内を組み合わせて、被害者にマルウェアが仕込まれたファイルを開かせ、マルウェアなどの不正なプログラムを感染させて被害者のパソコンに不正侵入する巧みな攻撃です。

  1. 医療サービスなどの「無料試用期間終了の通知」や「サブスクリプション料金の請求書」メールが届く。組織名や連絡先も明示されていて不審な点はない。
  2. 見に覚えがないため、メールに記載された「サブスクリプションのキャンセル電話番号に電話」するとオペーレーターがていねいに対応する。
  3. オペレーターにメールに記載された顧客IDを伝えるとキャンセルするためには、別途送られる案内メールを見るように説明される。
  4. 届いた案内メールに記載のURLをクリックすると、キャンセルページに誘導され、そこで顧客IDを入力すると、「キャンセル」ボタンが表示される。
  5. 「キャンセルボタン」を押すと、「キャンセルするには書類をダウンロードしてデジタル署名をするよう」説明され、Wordファイルのダウンロードが求められる。
  6. ダウンロードしたWordファイルを開こうとすると「コンテンツを有効化するか?」のセキュリティ警告が表示されるが、あらかじめオペレーターやメールで「有効化する」と案内されていたため、ユーザーは疑いなく「有効」にしてしまう。
  7. Wordファイルのマクロ機能によりに、ファイルに仕込まれたマルウェアに感染してしまう
  8. マルウェアを操作されて、知らないうちに情報流出など様々な被害にあう
ブログ内の関連記事(新しいウィンドウで開きます)

偽造されたメールの添付ファイルから感染するマルウェアEMOTET(エモテット)が猛威を振るっています。検査をすり抜けるZIPで暗号化されたものも増えました。2021年1月27日に欧州刑事警察機構の捜査によりEMOTETをコントロールしていた[…]

BazarCallの被害を防ぐには

BazarCallの対策も、フィッシングメール対策の基本である

「メールを件名や本文だけで信用しない」

またウイルスやマルウェア対策の原則

「添付ファイルを安易に開かない」
「コンテンツ有効化のボタンは絶対に安全な場合以外はクリックしない」

が有効ですが、2つサイバー犯罪を結びつけ、さらに人間のオペレーターが声で巧みに案内することで、警戒心が薄れて、被害にあってしまいます。

まさに人の心理を巧みに突いた危険な攻撃方法です。

 

これからボイスフィッシング攻撃が増える理由

フィッシング詐欺は2019年以降増え続けていますが、対策も進んでいます。

フィッシング詐欺の手口についてかなり認知されてきたほか、スマホ、パソコン、サービス提供企業の努力によって、フィッシングメールや不正サイトは速やかに発見されて、ユーザーがアクセスしないように遮断されるようになりました

今では、きちんと対策されたサービスやスマホを使うと、フィッシングメールに記載された不正サイトへ誘導するURLはすぐに削除されるか、厳しく警告されてしまいます。

今までのフィッシング攻撃方法では、なかなか犯罪が成功しなくなったため、犯人は新しい方法として、不正と見分けにくい、電話番号を悪用するようになってたのです。

また、ユーザーの「メールやURL、添付ファイルは怪しいけど、電話なら自ら確認できるから安心だろう」の思い込みや心理も悪用されています

 

ボイスフィッシング攻撃の被害にあわないための4つの対策

1.メールやSMSに記載された電話番号を信じない

「不審な添付ファイルは開かない」
「メールやSMSに記載されたURLはクリックしない」
「必ず検索して、本物のサイトを確認する」

はフィッシング詐欺にあわないための原則ですが、電話番号も同じように扱いましょう。

また電話番号を検索すれば、不審な番号は以下のように容易に判別できます。

090-3264-1492は詐欺電話の番号

携帯電話に迷惑電話通知サービスを加入する

携帯電話各社が提供しているセキュリティサービスは、メールのウイルス除去などに加えて、着信した電話番号に危険がないか判定してくれる「迷惑電話対策」機能がついています。

ドコモの迷惑電話通知サービス

しつこいセールス、詐欺・架空請求などが着信時にあらかじめ分かるため、非常に安心なサービスです。

価格も安価なため、ぜひ加入されるようおすすめします。

■NTTドコモ  あんしんセキュリティ

 

2.電話事業者の番号通知サービスを契約する

電話事業者各社は「非通知の電話番号を受け付けない」サービスを提供しています。

これらのサービスに加入することで、身元を明らかにしない電話を自動的に拒否することが可能です。

■NTTドコモ  番号通知お願いサービス 

■AU  番号通知リクエストサービス

■ソフトバンク 番号通知リクエストサービス

■NTT  ナンバー・リクエスト

 

3.公式アプリストア以外から、アプリは決してインストールしない

ボイスフィッシングの手口の特徴は、詐欺犯による会話だけでなく、被害者をだまして不正なアプリをインストールさせ、継続的に大切な情報の窃取を狙うことにあります。

AndroidもiPhoneも、いかなる場合でも、公式ストア以外からアプリをインストールしてはいけません。

iPhoneは公式ストアのApp store以外からアプリを入れることはできませんが、Androidは設定を変えることでできてしまいます。

Androidユーザーの方は、詐欺犯の巧みにな言葉にだまされて、設定を変更して、不正なアプリを入れることのないよう十分に注意してください。

 

4.固定電話は廃止を検討する

固定電話を長くお使いの方は、かつて電話番号が公開されていた影響で、電話番号は間違いなく流出しています

そのため、今固定電話にかかってくる電話の大半は営業電話か不審な電話といっても言いすぎではないと思います。

携帯電話の方がセキュリティ機能も充実していますし、電話番号も流出する可能性が低いです。

特にご年配の方には固定電話はリスクでしかないと考えられますので、セキュリティ確保の観点から解約もご検討下さい。

詳しくはぜひ下記の当社ブログ記事をご参照ください。

ブログ内の関連記事(新しいウィンドウで開きます)

NTTの電話帳「ハローページ」の廃止が発表されました。「電話番号が無断で使われる」など弊害が目立っているため妥当な判断と思います。電話帳以外にも電話番号は様々なルートで収集されて悪用されています。いったん流出した電話番号の削除は難しい今、オ[…]

固定電話は高齢者にはかえって危険

 

ご自身のメールアドレスやパスワード、電話番号が流出していないか調べるには?

定評ある「個人情報流出確認WEBサービス~Have I been Pwned(HIBP)」をおすすめします。

無料で簡単・確実にチェックしてくれます。

詳しくは当社の下記ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

2021年4月、Facebookが5億人もの個人情報を流出させていたと衝撃の発表がありました。LinkedIn、Clubhouseも同様の流出問題を発生させています。これまで無数の企業やサービスから個人情報が流出していますが、「自分の電[…]

 

 

まとめ:
「電話も安全ではない」ことを再認識しましょう

アナログな音声や声で手軽に内容が確認できる電話はつい信用してしまいます。しかし詐欺師が昔から電話を巧みなテクニックによって悪用してきたことは決して忘れてはいけません。
さらに「電話にデジタル」が加わることで、ますます真偽が分かりにくくなってしまうため、一層の警戒が必要です。

「固定電話のリスク回避」も含めて、改めて電話の持つ危険性についても再認識してください。

 

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

現在のデジタル機器はセキュリティが強化され、昔のようにウイルスには簡単に感染させることができなくなりました。

そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムを感染させたり、偽サイトで個人情報を盗み取る手法に移行しています。

Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。

セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族がだまされてしまうリスクも低減し、万一の時も、被害低減してくれます。

  • フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
  • フィッシングメールにだまされてうっかりURLをクリックしても「警告」して止める。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • お子様のネットの利用時間や不健全なサイト利用を制限する。
  • 紛失したスマホを探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!まして無料なアプリはかえって危険につながることもあります。

  • 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
  • 動作が軽く、機器使用の障害にならない
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる

製品ををおすすめします。

また、タブレットやスマホまで、トータルでカバーできる製品では「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用も大幅に安くなります。

購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーから無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。