スミッシング(SMSフィッシング詐欺)の手口と対策
スミッシング(SMSフィッシング詐欺)の手口は「偽のURLをクリックさせる」しかない
普通のフィッシングメールでは、
- 本物の取引先と見分けがつかない巧妙な詐欺メールを送って、ウイルスやマルウェアを仕込んだ添付ファイルを開かせる
- 画像に見せかけたウイルスメールを添付ファイル送りつける
- 本文中の偽装したURLをクリックさせて、ウイルスやマルウェアをダウンロードさせる
と言ったいろいろな手口が取られます。
ところが、「スミッシング(SMSフィッシング詐欺)メール」の手口はひとつしかありません。それは
「偽のURLをクリックさせる」
ということだけです。
それならば対策は二つだけ
- SMSに書かれているURLは原則としてクリックしない
- どうしてもクリックする必要があるときは本物のURLか確認する
になります。
スミッシング(SMSフィッシング詐欺)はクリックしただけでは被害は発生しない
なお詐欺メールと違い、詐欺SMSはメールと異なり、文字情報しか送れず、ファイル添付もできないので、メッセージに不正動作をさせるブログラムやウイルスを仕込むことはできません。
クリックしただけではなにも危険はありません。
クリックした先で何かをしてしまって始めて被害にあいます。
詐欺SMS(スミッシング)から誘導される詐欺サイトでの手口と被害
手口1.偽造サイト上で個人情報を入力させて盗む
出展:フィッシング対策協議会
SMSのURLをクリックすることで、本物をコピーして精巧に偽造された、大手銀行、地方銀行、オンライン銀行などのサイトに誘導し、個人情報を盗み取ろうとします。
ここで気がつかずに、あわてて個人データを入力してしまうと被害に繋がってしまいます。
入力された情報は犯人達によって悪用されるだけでなく、リスト化され、ブラックマーケット(ダークWeb)で売買されます。
そして2020年9月に大きく報道された「ドコモ口座の不正引き落とし事件」など、大規模な不正ログイン事件で発生した不正出金などに、こうして集められた個人情報が悪用されています。
なお犯行はプロの犯罪者集団によって行われており、日々新しいパターンが登場しています。
また偽装サイトのURLもすぐに変更され、セキュリティソフトの対策も追いつかないほどです。
手口2.「アップデートが必要」などと不正アプリやマルウェアをインストールさせて、スマホを乗っ取る
SMSのURLをクリックすると、上記のように
「セキュリティ向上のため最新バージョンのChromeにアップデートしてください」
「新型コロナ対策のために新しいアプリにバージョンアップしてください」
などとポップアップが表示されます。ここでうっかり「OK」を押してしまうと、スマホに不正アプリがインストールされてしまいます。
上の例では「OK」を押すと「Trojan-Banker.AndroidOS.Agent」という「偽のオンライン銀行に誘導するマルウェア(トロイの木馬)」がダウンロードされてしまいましたが、セキュリティ対策アプリが不正を検知して、削除してくれました。
また上記以外にも、
- 「コロナ感染対策のため新しいアプリをダウンロードしてください」とだまし、不正アプリをイントールさせる。
- グーグルChromeに似たアイコンの偽アプリを入れさせる。
といった手口で、
「スマホの個人情報を盗まれる」
「遠隔操作されるマルウェアを入れられて、新たな詐欺SMSの発信元にされたり、銀行アプリを使う時に偽サイトに誘導される」
などの被害が確認されています。
詐欺SMS(スミッシング)の被害にあわないためには?
詐欺SMS(スミッシング)犯は人の心理を巧みにあやつる
人は誰でも、選択を迫られた際に、
- 「自分にだけは悪いことは起きないだろう」と楽観(=楽観バイアス)し、不安や警告を無視する。
- さらに、すぐに得られる利益や成果を優先して選択してしまう
と、「安易な選択をしてしまう」心理上の弱点を持っています。
この心理を双曲割引(そうきょくわりびき)といいます。ング詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。
「何か起きてしまっている!」という不安を解決したばかりに、「怪しいショートメールではないのか?」という正常な判断を見過ごすことから被害にあってしまいます。
不安に駆られたら「双曲割引に陥っていないか?」、自問自答して冷静になりましょう!
SMSできた通知はすべて疑うこと
電話番号を発行したドコモとかAU、ソフトバンクのような通信事業者を除いて、SMSでユーザーに重要事項を連絡する事業者はありません。
銀行も宅配便の大手3社も「不在通知をSMSで送ることはないい」と明言しています。
企業からのSMSは「携帯電話会社以外はすべて詐欺!」と見なして処理するのが賢明です。
SMSのURLをクリックする時は本物か確認する方法は?
1.まず事業者のサイトを訪問して、警告が出ていないか確認する。
SMSでURLが送られてきて「さてこれはクリックするべきか?」迷ったときは、すぐにブラウザーを開いて「送信元の事業者のホームページ」を検索してトップページやお知らせページを見ましょう。
「スミッシング(SMSフィッシング詐欺)メール」が確認されたサービスでは、必ずサイトのトップに「お客様に緊急のお知らせ」といった表示があり、以下のように偽メッセージに大きく注意が喚起されているはずです。
2.SMSの文面に惑わされず、直接事業者のカスタマーサポート、コールセンターに確かめる
これが一番楽で確実な方法です。
なんでもネットのやりとりで解決しようとせず、事業者に問い合わせて真偽を確認しましょう。
あなたにSMSで緊急通知を送るような事業者なら、確実に問い合わせ先を用意しているはずです。そこに問い合わせせれば、本人確認の後「事実はすぐに分かる」はずです。
ただしSMS文中や送信元に連絡してはいけません!
- 届いたSMSやメールの返信で問い合わせない
- SMSやメールに書かれた問い合わせ先ではなく、公式サイトを検索して、直接問い合わせる
ようにしましょう。
3.URLが正規なものか確かめる
詐欺SMS(スミッシング)を見分けるために、正規の自社URLを公表している事業者もあります。
しかし、URLは複雑でなかなか確認するのは大変です。
そこで奴に立つのが、文中のURLが正しいものかスキャンしてくれるオンラインサービスがです。
おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。
使い方は以下の当社ブログ記事をご覧ください。
個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]
発信者がわからない「短縮URL」は無視しよう
短縮URLをご存知ですが? たとえば
http://bit.ly/2YqK2pM
といったどこのドメインだか会社だか推測できないURLです。
これた短縮URLといって「長いURLそのままだと本文が見づらくなるため、省略して短いURLに変換するサービス」を使っているからです。
※ちなみに上記の短縮URL(http://bit.ly/2YqK2pM)はこのブログのURL(https://keepmealive.jp/anti-smishing/)を短縮URLに変換したものです
しかし上記の見本の通り、まともな事業者は身元が不明となる短縮URLは使いません。
短縮URLを使ったSMSは「怪しい」と見なして無視しましょう!
★★少しでも不安を感じたら、パソコンやスマホを無料のセキュリティーソフトで検査しましょう!
少しでも不審なときは、「信頼できるセキュリティソフトでパソコンやスマホをスキャンし駆除」が、個人ができる最善の対処方法です。
まだ信頼できるセキュリティソフトを持っていないときは、以下の無料で使える大手の有名セキュリティソフトを使いましょう。
※どの製品も30日程度、製品版と同等に無料試用ができます。
不正なアプリやマルウェアがインストールされていないかスキャンして調査、発見された場合は駆除してください。
※セキュリティ対策ソフトは無料試用後も引き続きお使いになるよう強くお薦めします。
また念のためスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう。
■カスペルスキー セキュリティ 無料体験版(Digital Keeperお薦め)
■感染してからでは遅い!無料体験から始める人気ウイルス対策ソフト 
■【アバスト】30日間無料体験版、返金保証付き 