騙されてるかも?

scam

詐欺被害のニュースが後を立ちませんね。自分の身を守るため、どんな手口に注意しなければならないのか、どんな対策ができるのかを調べてみた。

発信者電話番号

知らない人からの電話は特に気をつけた方がよい。不明な電話番号からの着信履歴があっても折り返して電話しない方がよい。固定電話を利用している場合は日中でも留守番電話にしておいた方がよい。留守番電話の内容を確認した上、知っている電話番号の場合は折り返す。留守番メッセージに残された知らない電話番号へは折り返さない。警察や弁護士、家電量販店やショップの店員などを名乗る場合もその番号が公の電話番号である保証はない。折り返して電話する場合はホームページなどで公の電話番号を確認し、その番号にメッセージの内容を問い合わせるのが安全だ。

そもそも発信者電話番号は偽装できるようだ。携帯電話・一般家庭の固定電話に対して、警察や自宅などの電話番号を偽って表示させ、相手を信用させたうえで「振り込め詐欺」などの行為に及んでいる。スプーフィングとか、なりすまし電話というらしい。恐ろしい。知人などの電話番号になりすましているようなケースでは押し返し電話した時に「あだ名」など本人達だけが知っている情報で確認するか、FaceTimeなど顔が見える環境で確認するなど対策には念を入れないと身を守れないのかもしれませんね。

メール

メールアドレスも電話番号同様に送信元アドレスは詐称できる。カード会社やAmazonなど有名企業になりすましたメールには注意が必要だ。表示名だけが詐称されているケースと、表示名もメールアドレスも詐称されているケースがある。

事例その1  表示名だけが詐称されているケースとその対策

次のケースの場合、iPhoneの標準メーラーでは差出人の表示名はamazonとなっている。iPhoeでは、その差出人部分をタップするとメールアドレスが表示される。下記事例だと送信元メールアドレスのドメイン(@より後ろの部分)がamazonと関係のない文字列となっている。本物の場合は@amazon.co.jpなど、amazonの文字列が含まれる。

自分が利用しているメールアドレスでなりすましメールを受信しない設定ができる。なりすましメール受信を拒否する設定をしているのに見に覚えのない不審なメールがきた場合は差出人アドレルを確認して、そのメールに記載されたURLリンクへはアクセスしない、添付ファイルは開かない、メールに返信しないようする。

From: "amazon" <bfluux@ryfhy.net>
Subject: お支払い方法の情報を更新

事例その2  表示名もメールアドレスも詐称されているケースとその対策

次のケースの場合、表示名もメールアドレスも本物っぽい。先程のなりすましメール受信拒否設定済みでも次のようなメールを受信してしまった場合、普段からかなり慎重に行動する癖をつけていないと騙されるだろう。次のケースではメール内のログインボタンからアクセスしない事だ。Webサイトへ直接アクセスして連絡された内容の審議を確かめ、不審点があればWebサイトの更新サポートから問い合わせをしてみる。

From: "Amazon.co.jp" <auto-confirm@amazon.co.jp>
Subject: Amazon.co.jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認

テッキーな人ならメールのヘッダー情報で確認できるみたいですが、一般人はメールヘッダー情報は確認しませんよね。

Amazonでは次のようにスパムメールの見分け方を注意喚起しています。(一部抜粋)

フィッシング詐欺師は多くの場合、Amazonからであるかのように偽造のEメールを送信しますが、返信先アドレスを確認することで、正規のものかどうかを判断できます。Eメールの「差出人」が「amazon-security@hotmail.com」または「amazon-payments@msn.com」のように表示されている場合、または別のインターネットサービスプロバイダー(ISP)の名前が含まれている場合は、不正なEメールです。

ほとんどのEメールクライアントでは、Eメールの送信元を確認できます。 Eメールのヘッダー情報の「送信元」、「返信先」、「リターンパス」が@amazon.comまたは@amazon.co.jpであることを確認してください。 ヘッダー情報の確認方法は、使用しているEメールクライアントによって異なります。

出典:Amazon https://sellercentral.amazon.co.jp/gp/help/external/G32261?language=ja_JP

URL

URLも騙されやすいようだ。

事例その3  ショッピングサイトの模倣と対策

記憶に新しいのがユニクロ公式サイトを模倣したウェブサイトでのフィッシング詐欺だ。社名のnとmだったか、o(オー)と0(ゼロ)を入替えた模倣サイトだったと記憶している。ユニクロの公式サイトでは次のように注意を呼びかけている。(一部抜粋)

ユニクロ公式サイトへアクセスできているかどうかは、お使いのブラウザに表示されるアドレスをご確認ください。
公式サイトの正しいアドレスには、[www.uniqlo.com]が含まれています。
模倣サイトは、[www.uniqlo●●●●●.com]、[www.●●●uniqlo.com]などドメインが異なりますので、ご注意ください。

出典:ユニクロ https://faq.uniqlo.com/articles/FAQ/100004147

先程のメール対策とも関連するが、模倣サイトのURLへはメールからアクセスしてしまう可能性が高い。メール内のリンクへはアクセスしない習慣をつけた方が安全そうだ。どうしてもアクセスする場合は、アクセスする前に公式サイトのドメイン、アドレスであるかを目視で確認する。

 

事例その4  宅配業者のなりすまし

電話番号宛のSMS宛に宅配の不在メールが送られ、そのメールには偽サイトのURLが記載されていてID,PWや電話番号の入力を促され、そうした情報を盗み取られたり、不正なアプリをインストールさせられてスマホ内部の情報を盗み取れれるといった被害が後をたたない。SMSでは特に短縮URLが利用されることが多い。短縮URLではドメインがチェックできない。短縮URLへアクセスすると元の長いURLアドレスへ勝手にアクセスする便利な機能であり、パソコンだと短縮URLにフォーカスすると最終的にアクセスするURLを事前に確認することができるがスマホ、特にSMSだと事前確認できない。

見に覚えのないSMSは開かない。スマホのソフトウェアは最新にしてセキュリティ対策しておき、メールのURLにアクセスしてしまったとしても、その先からアプリをインストールしないなど自己防衛が必要だ。スマホで便利になっている一方、慎重に利用しないと自分の身は自分で守らないと誰も守ってくれませんからね。