生活に潜むスミッシング詐欺やフィッシング詐欺に引っかからないためには?

このテーマについて書けることがあるなと思ったので書いてみました。

はじめに

以下記事が目に入りました。
生駒里奈さんも引っ掛かってしまった! SMSの「スミッシング詐欺」で不正利用の被害に

この手のメールやSMSや私のところにも来ていますが、流石に職業が職業なのでひっかかることはありません。

ですが、他の職業で、本業を気をつけながらも詐欺に気をつけるというのはかなり難しいものだと思います。
本業の栄養士の方よりも食事の内容が栄養バランスが悪くなってしまうようなものです。

今までこのテーマに関してまとめたことはなかったので書いてみようと思いました。

対策1:SMSやメールのURLリンクは開かない

SMSやメールのURLリンクは開いてはいけません。
耳が腐るほど聞いてきたと思いますが、これが根本的な対策です。

メールの差出人や、URLのドメイン、アクセス後の証明書などから判断する方法もありますが、万人向けしないです。


「開かない」


これだけだったら誰でもできます。簡単です。

実際どうすればいいか、事例をもとに考えます。
MyJCB をかたるフィッシング

本人か疑わしい取引があったため、本人確認をしたいという内容ですね。
この場合は対処は以下のようになると考えています。

  1. 公式アプリやブラウザのブックマークなどからアクセスする
  2. Google検索からホームページにアクセスする。
  3. ホームページに記載してある電話番号に電話してみる(メール・SMS記載のものは駄目)
  4. 詳しそうな人に聞いておとなしく従う

1.公式アプリやブラウザのブックマークなどからアクセスする
フィッシング協会が推奨している対策となります。
信頼できる提供元からアクセスするので、(フィッシングという観点で言えば)間違いが無いです。

2.Google検索からホームページにアクセスする。
公式アプリやブックマークの設定を行っていない場合です。
これもほとんど間違いがおこらないと考えています。

3.ホームページに記載してある電話番号に電話してみる(メール・SMS記載のものは駄目)
どうしても不安な場合です。
私はこの方法を使うときがまぁまぁあります。


フィッシングに利用されている場合、専用の通達やサポート体制をとっていると考えられるので、ちゃんと説明してくれると思います。

4.詳しそうな人に聞いておとなしく従う
個人的にオススメな方法です。
不安だったら、誰かに聞きましょう。


人と話すことで不安も和らぎます。

筆者がコミュニティもやっているので、そこで聞いてもらうことでも相談に乗れると思います。
情報共有コミュニティとしていますが、そこまでテーマを気にしていないです。

攻撃側がどうやってURLリンクを開かせようとしているか考察してみる

フィッシング協会で通達されている内容をいくつか見たところ、どれも「本人確認用」のメールのようでした。
フィッシング詐欺があることを前提とし、それを利用した形だと思います。

「フィッシング詐欺ってよく知らないけど、なんかこわい」
という方々をターゲットにしている感じがします。

情報漏えいなどのニュースがだいぶ一般化されてきた今に合っていますね。
コロナということもあり、不安を煽ることがだいぶ有効なようです。

また、SMSを利用したスミッシング詐欺も一定数有効なんだなと感じました。
普段から長文を送らず、決まった人としかやりとりしないようなSMSを気にするという文化は浸透していなさそうです。

考察してみると、「不安につけこむ」「常識の穴をつく」といったところでしょうか。
心に語りかける系なので、やはり元も子もない「URLリンクガン無視」が良さそうです。

対策2:パスワード入力はパスワード管理ソフトを使用する

こちらは予防策のようなものです。
だいぶパスワード管理ソフトを使うことが一般化?広まってきた?ようなので、使っている方も多いと思います。

私はLastPassを使っていますが、URLごとに自動入力判定がされるので、パスワード管理ソフトが動かないときはサイトが違うということがわかります。

LastPassの設定画面抜粋


クレジットカードとかはどうしようもないので、頼りすぎはどうかと思いますが、使えます。
パスワードの使いまわしも防止できるので、何らかのパスワード管理ソフトは使ったほうが良いと思います。

おわりに

間違っている内容がありましたら教えていただけますと助かります。

久しぶりにフィッシングメールの文言などを見ましたが、中途半端に知識があるのを悪用するみたいになってました。
なんというか、よく考えるなぁという気持ちです。


テレビが情報源で、ちょろちょろと断片的にしか情報が入ってこない人たちは絶好のカモなのでは?と思ってしまいます。

「情報漏えいってなんのことかわからんから確認しとこ」って人も騙せるのがうまいなぁと思いました。

内容を読んでしまうとどうしようもないので、「URLリンクはガン無視」これを徹底するようになればいいなと思います。

サービスとしてURLリンクを送る必要があったり、パスワードを忘れた際にURLリンクを送ったりもするので、どうしても最低限の知識は必要になってしまうのがなんとも難しい世の中だなと感じました。

広告
広告
この記事を書いた人
脆弱性を見つける仕事をしています。 Twitter https://twitter.com/Nick_nick310
SNSでフォローする

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です