「スミッシング(SMSフィッシング詐欺)」の手口が変化してきた
スミッシング(=SMSフィッシング詐欺)が悪用するブランドや手口が変化し多様化している
これまでの被害で最も目立つのは ヤマト運輸、佐川急便、日本郵政といった宅配便会社の不在通知をよそおうものでした。
ところが次第に「Amazon」「楽天」そして「三井住友銀行、三菱UFJ銀行さらに地方銀行など多様な金融機関」をかたるものも増えてきました。
特に地方銀行を狙うものは、今までなかったため、地方のシニア、お年寄りがだまされて被害にあう方が多く、特に注意が必要です。
■宅配便不在通知や三菱UFJを名乗る偽SMS・偽メールにご注意ください!(12月9日更新)
■琉球銀行の注意喚起:当行を装ったSMS(ショートメッセージ)について
フィッシングの詐欺メールや詐欺SMS(ショートメッセージ)の中で、佐川急便、ヤマト運輸、郵便局(日本郵便)をかたる宅配便の不在通知~「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました」などの詐欺SMSはうっかりクリックし[…]
さらに、これまでとは全く異なる「友達から」などの偽装方法もスミッシングも現れ、油断できません。
昨日から『「気をつけてよ!写真がネットに載ってるじゃん、気まずいな!」というSMSが送られて来てURLをタップした。』という相談が寄せられています。
URLをタップするとAndroidでは不審アプリのインストール、iPhoneではApple IDを入力させる偽サイトなどに誘導されます。
URLをタップしないで!1/3 pic.twitter.com/spcERBGMZv— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) May 20, 2021
本日ご紹介した+メッセージの公式メッセージをよそおった詐欺SMSも新しい詐欺の手口です。
これからもスミッシング(=SMSフィッシング詐欺)はますます増える!
フィッシング詐欺の舞台はメールからSMSへ移りつつある
携帯電話同士で電話番号を相手を識別するキーとして用い、短いテキスト文字だけのメッセージをやりとりするSMS(=ショートメッセージサービス)は、コストが安く、メールよりもすばやく送受信できる利点があります。
またSMSは電話番号という「全世界にひとつしかなく、しかも偽装できない個人の番号」を使うことから「二段階認証の本人確認」など大切な認証の手段としても使われるようになりました。
ところがその特性を逆手にとったスミッシング=SMS詐欺が横行するようになりました。
下のグラフは「国内からフィッシングサイトに誘導されたモバイルデバイス利用者数の推移~つまりスミッシングに引っかかってしまった数」です。2019年に入って激増していることが分かります。
まさに上記のSMSの利点や特徴を逆手に取ってユーザーをあざむくスミッシングが増えてきたのです。
海外では、警戒が厳しくなったメールに代わり、「SMSでユーザーにカスタマーサポートに電話させて、偽の契約を結ばせる」、ボイスフィッシング(またはビッシング)という詐欺が大流行しています。
心当たりのない領収書や請求書メールが届いたので思わず電話をしようとしたことありませんか?それは電話させることを狙った詐欺の可能性があります!公的機関や銀行になりすまし、電話や音声通話とフィッシングを巧みに組み合わせた新たなサイバー詐欺「[…]
SMSは犯人にとって偽造がしやすい
SMSは長い間自分だけに届く安全なメール」と思われてきました。
またテキストしか送信できないため、迷惑メールフィルターも用意されず、必ず相手にダイレクトに届いてしまいます。
犯人はそこを逆手にとって、膨大なスミッシング(=SMSフィッシング詐欺)を送りつけているのです。
SMSは携帯電話からしか発信できないと思われがちですが、
- 送信元名/送信元電話番号を偽装して多数の電話番号に一斉に配信するツールを使い、多数の電話番号に同時にスミッシング(=SMSフィッシング詐欺)を配信
- マルウェアで乗っ取った携帯を遠隔操作して、スミッシング(=SMSフィッシング詐欺)配信
と言った手口で、主に海外の犯罪組織から、多数のスミッシング(=SMSフィッシング詐欺)が行われています。
メールアドレスも発信元も偽造できるとなると、犯人にとって、メールよりも手軽で使いやすいとも言えるのです。
スミッシング(SMSフィッシング詐欺)の手口と対策
スミッシング(SMSフィッシング詐欺)の手口は「偽のURLをクリックさせる」しかない
普通のフィッシングメールでは、
- 本物と見分けがつかない巧妙な偽造メールを送って、ウイルスやマルウェアを仕込んだ添付ファイルを開かせる
- 画像に見せかけたウイルスメールを添付ファイル送りつける
- 本文中の偽装したURLをクリックさせて、ウイルスやマルウェアをダウンロードさせる
と言ったいろいろな手口を取ることができます。
ところが、「スミッシング(SMSフィッシング詐欺)メール」の手口はひとつしかありません。それは
「偽のURLをクリックさせる」
ということだけです。
それならば対策は二つだけ
- SMSに書かれているURLは原則としてクリックしない
- どうしてもクリックする必要があるときは本物のURLか確認する
になります。
スミッシング(SMSフィッシング詐欺)はクリックしただけでは被害は発生しない
なお詐欺メールと違い、詐欺SMSはメールと異なり、文字情報しか送れず、ファイル添付もできないので、メッセージに不正動作をさせるブログラムやウイルスを仕込むことはできません。
クリックしただけではなにも危険はありません。
クリックした先で何かをしてしまって始めて被害にあいます。
詐欺SMS(スミッシング)で誘導された詐欺サイトでの2つの手口
iPhoneとAndroidでは犯行の手口が異なる
偽宅配便SMSは見ただけでは何も悪影響はなく、文中のURLをクリックして偽装サイトに誘導されて被害につながります。
しかし誘導される偽装サイトは、スマホの機種によって異なります。
URLをクリックすると、iPhoneかAndroidかが判別されて、それぞれにあった攻撃方法の偽装サイトに誘導されます。
iPhoneは不正アプリをインストールさせることが難しいため、個人情報をだまし取ろうとします。
Androidは、ユーザーをだますことで、不正アプリのインストールが可能のため、ユーザーの注意を引きつけて、不正アプリをすすめてきます。
手口1.iPhoneを狙う「偽造サイトで個人情報を入力させ盗む」手口
出展:フィッシング対策協議会
主にiPhoneが狙われる手口です。
SMSのURLをクリックすると、「本物をコピーした精巧な大手銀行、地方銀行、オンライン銀行、dアカウントやAmazon、Appleなどのログイン画面」の偽造サイトに誘導し、個人情報を盗み取ろうとします。
「宅配便と関係ないサイトが開くのは変だ!」
と気がついて閉じてしまえば被害はありませんが、あわてて個人データを入力すると盗まれてしまいます。
盗まれた情報は犯人に悪用されるだけでなく、リスト化されブラックマーケットで売買されます。
そして、集められ個人情報は、2020年9月に報道された「ドコモ口座の不正引き落とし事件」のような大規模な不正ログイン事件などに繰返し悪用されてしまいます。
偽造サイトは見つかり次第閉鎖されますが、海外のプロの犯罪集団により、日々新しい攻撃方法や偽サイトが次々と生まれるため、対策が追いついていません。
2021年5月19日、IPA(情報処理推進機構)様よりも「宅配便の不在スミッシングからAppleの偽サイトでAppleIDを盗まれてしまった相談が多発」と注意が出されました。
「不在通知の偽SMSから、佐川急便の再配達受付の偽サイトへ誘導されて、運転免許証を送ってしまった。」という相談が複数寄せられています。 ●偽SMSのURLをタップして偽サイトにアクセスしないでください! ●偽サイトにアクセスしてしまった場合でも、電話番号や本人確認書類を入力しないでください! pic.twitter.com/UrMuEPPcPH
— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) May 18, 2021
またうっかりApple IDを入力してたため、大きな被害を受けてしまった方も、注意を呼びかけるtweetしています。
AppleIDが乗っ取られて14000円×21回購入294000円の被害でした。あっという間の事でパスワードが急に変更されて信頼出来る電話番号変えられてカード会社に電話した時には22回目の購入をしている所だったとの事。Appleは夜21時以降連絡出来ないのでカード会社で止めました。皆さん気をつけて😭 pic.twitter.com/xyRodZjh80
— 河上シェフ❄被弾済 (@caravan1979) May 14, 2021
さらに「本人確認のため」と称して、マイナンバーカードや運転免許証、パスポートなどのコピーを添付させる手口も出てきました。
IPA(情報処理推進機構)様「安心相談窓口だより」
「安易に運転免許証など本人確認書類の写真を送信しないで!~ 不在通知の偽SMSで新たな手口の相談が増加中 ~」
「SMS上のURLから開くページには個人情報は入力しない!」
を大原則として対応しましょう。
手口2.Androidを狙う「不正アプリやマルウェアでスマホを乗っ取る」手口
Androidが狙われる危険な手口です。
SMSのURLをクリックすると、
- 「セキュリティ向上のため最新バージョンのChromeにアップデートしてください」」
- 「新型コロナ対策のためにアプリにバージョンアップしてください」
などとポップアップが表示されます。
ここでうっかり信じて「OK」を押してしまうと、スマホに「Chromeの偽アプリ」「ドコモあんしんセキュリティの偽アプリ」「偽クロネコヤマト公式アプリ」などの不正アプリがインストールされてしまいます。
上の例では、「OK」を押すと「危険なマルウェア」がダウンロードされましたが、セキュリティ対策アプリが検知して、削除に成功しています。
それでもインストールしようとすると「提供元不明のアプリをインストールしますか?」と最終警告が出ます。
ここでインストールしなければ被害はありません。
しかしインストールしてしまうと、有名アプリに似せた偽アプリや「ローミングマンティス」などの悪質なマルウェアを入れられ、
- スマホの個人情報を盗み取る
- 勝手に多数の詐欺SMSを発信され、多額の通信料を請求される
などの被害につながります。
さらに現在世界中でフルボット(Flubot)という悪質なマルウェアが宅配便や郵便局の不在通知SMSを通して広がっており、いずれ日本にも侵入してくるものと予想されています。
もしもAndroidをお使いの方で、「勝手にsmsが送られてしまった」「高額のショートメッセージ使用料の請求が来た」ような被害にあった方は、
- 上記の手口に心当たりがないか?
- アプリ一覧に見覚えのないアプリが入っていないか?
必ずお調べください!
犯人はどうやってあなたの電話番号を知るのか?
スミッシング(=SMSフィッシング詐欺)の一部は出回っている電話番号リストを使っていますが、ほとんどの場合は適当な局番と数字を組み合わせて大量の電話番号を作り、片っぱしから詐欺SMSを送りつけているだけです。
したがって「詐欺SMSを拒否」したり「ブロック」する方法はありません。
また、決して詐欺SMSに返信したり、SMSの発信元の電話番号に電話してはいけません!
膨大な詐欺SMSを送っている犯人にとって、本物の電話番号は貴重です。
「反応があった。だましやすい電話番号だ」とリストに記録され、スミッシング犯に共有されて、ますます詐欺ののターゲットにされてしまいます!!
詐欺SMS(スミッシング)の被害にあわないためには?
詐欺SMS(スミッシング)犯は人の心理を巧みにあやつろうとする
人は誰でも、選択を迫られた際に、
- 「自分にだけは悪いことは起きないだろう」と楽観(=楽観バイアス)し、不安や警告を無視する。
- さらに、すぐに得られる利益や成果を優先して選択してしまう
と、「安易な選択をしてしまう」心理上の弱点を持っています。
この心理を双曲割引(そうきょくわりびき)といいます。
フィッシング詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。
「何か起きてしまっている!」という不安を解決したばかりに、「怪しいショートメールではないのか?」という正常な判断を見過ごすことから被害にあってしまいます。
不安に駆られたら「双曲割引に陥っていないか?」、自問自答して冷静になりましょう!
SMSできた通知はすべて疑うこと
電話番号を発行したドコモとかAU、ソフトバンクのような通信事業者を除いて、SMSでユーザーに重要事項を連絡する事業者はありません。
銀行も宅配便の大手3社も「不在通知をSMSで送ることはない」と明言しています。
企業からのSMSは「携帯電話会社以外はすべて詐欺!」と見なして処理するのが賢明です。
SMSのURLをクリックする時は本物か確認する方法は?
1.まず検索して、送付元を調べ、警告が出ていないか確認する。
SMSでURLが送られてきて「さてこれはクリックするべきか?」迷ったときは、すぐにブラウザーを開いて「送信元」や「電話番号」を検索しましょう。
必ず「詐欺SMSの情報」や被害にあった送信元企業のお知らせページがヒットするはずです。
「スミッシング(SMSフィッシング詐欺)メール」が確認されたサービスでは、必ずサイトのトップに「お客様に緊急のお知らせ」といった表示があり、以下のように偽メッセージに大きく注意が喚起されているはずです。
2.SMSの文面に惑わされない。直接送信元を調べカスタマーサポート、コールセンターに確かめる
これが一番簡単で確実な方法です。
なんでもネットのやりとりで解決しようとせず、事業者に問い合わせて真偽を確認しましょう。
あなたにSMSで緊急通知を送るような事業者なら、確実に問い合わせ先を用意しているはずです。そこに問い合わせせれば、本人確認の後「事実はすぐに分かる」はずです。
ただしSMS文中や送信元に連絡してはいけません!
- 届いたSMSやメールの返信で問い合わせない
- SMSやメールに書かれた問い合わせ先ではなく、公式サイトを検索して、直接問い合わせる
ようにしましょう。
3.URLが正規なものか確かめる
詐欺SMS(スミッシング)を見分けるために、正規の自社URLを公表している事業者もあります。
しかし、URLは複雑でなかなか確認するのは大変です。
そこで奴に立つのが、文中のURLが正しいものかスキャンしてくれるオンラインサービスがです。
おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。
使い方は以下の当社ブログ記事をご覧ください。
個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]
発信者がわからない「短縮URL」は無視しよう
短縮URLをご存知ですが? たとえば
http://bit.ly/2YqK2pM
といったどこのドメインだか会社だか推測できないURLです。
これた短縮URLといって「長いURLそのままだと本文が見づらくなるため、省略して短いURLに変換するサービス」を使っているからです。
※ちなみに上記の短縮URL(http://bit.ly/2YqK2pM)はこのブログのURL(https://keepmealive.jp/anti-smishing/)を短縮URLに変換したものです
しかし上記の見本の通り、まともな事業者は身元が不明となる短縮URLは使いません。
短縮URLを使ったSMSは「怪しい」と見なして無視しましょう!
URLの「httpのsの有無」には確かにセキュリティ上大きな違いがあります。しかし「sがついているから安全、鍵マークがあるから安心」は大昔の発想で、今では古くて危険な非常識です。どうして「httpsは安心の証ではないのか?」、URLのh[…]
★★少しでも不安を感じたら、パソコンやスマホを無料のセキュリティーソフトで検査しましょう!
ご自身のメールアドレスやパスワード、電話番号が流出していないか調べるには?
定評ある「個人情報流出確認WEBサービス~Have I been Pwned(HIBP)」をおすすめします。
無料で簡単・確実にチェックしてくれます。
詳しくは当社の下記ブログ記事をご覧ください。
これまで無数の企業やサービスから個人情報が流出していますが、「自分の電話番号やメールアドレス、パスワードの流出をチェックできるサービス」の中で、もっとも信頼でき安全な確認サイトが「HIBP~Have I been Pwned(私はやられてい[…]
まとめ:
これからは電話番号も無警戒に伝えることは止めよう
以上「スミッシング(SMSフィッシング詐欺)メール」についてご案内してきましたが、スマホは今後、身元を確認する鍵として、ますます重要性が高まります。
大切なスマホがあなたのものであることを証明するのはスマホ本体ではなく、電話番号です。
これからは「電話番号」も大切な個人情報として取り扱い、安易に信頼できない事業者に提供する事は止めましょう。
また忘れがちな重要事項として、
「スマホ本体には電話番号や通信事業者を特定する情報はない」
「電話番号など大切な情報はのSIMカード」
ということをご認識ください。
スマホ本体はそのままでも、SIMカードを盗まれたり、別のSIMカードと入れ替えられたりすれば、犯人は容易にあなたに成り代わってSMSの送受信ができてしまいます。
そうなっては二段階認証もなにも役に立ちません。
今やスマホはあなた本人を確認の鍵でもあります。もしもスマホをなくした時、悪用されたり、転売されないように備えるにはどうしたら良いか?先日「世界一受けたい授業」でも取り上げられた最重要ポイントが「スマホの画面とSIMカードの2つのロックの仕方[…]
スマホのSIMカードを守るため、上の記事をご参照いただき、かならず「SIMの暗証番号(PIN番号)ロック」の設定をなさるよう強くおすすめします。
「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?
ネット上のデマや悪質業者の広告を信じてはいけない!
当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。
しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。
「本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。
しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。
より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。
おすすめのハッキング調査会社:デジタルデータフォレンジック
デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。
累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。
相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。
「※本サイトはアフィリエイト広告を利用しています。」
近年有名ブランドをかたる詐欺・フィッシングメールは激増中ですが、中でもAmazon をかたるフィッシングメールが被害の大部分を占めています。またAmazonになりすました不正なショートメール(SMS)も増えています。しかもフィッシングの[…]
- 1
- 2