電子メールの断捨離|フィッシングメール
せっせと不要なメールの削除を進めている。訳の分からないメールの中に、フィッシング詐欺のために送られてきたものが結構あることが分かった。
Phishingはネットを利用して行うsophisticated fisshing(洗練された釣り)から作られた造語で、釣り上げるのは勿論ネット利用者。フィッシングだけでネット詐欺の意味があるので、フィッシング詐欺は馬から落馬に近いかもしれないが、明確な注意を促すためには、詐欺を加えてフィッシング詐欺としておいて妥当だろう。
フィッシング(詐欺)で釣り上げるのは、ネット利用者 のアカウント情報。アカウント名、ID名、パスワードなど、アカウントに関連付けられた情報。
フィッシング詐欺の手口
例えば、
(1)ネットバンキングならその銀行の偽サイトを用意して、 ID/PWを入力させて盗み取る。発想はシンプルで分かりやすい。犯人はどのように偽サイトへ誘導するかが悪知恵の出しどころ。フィッシング詐欺メールはその誘導策の1つ。第2暗証があっても固定型では同時に盗み取られる。
この手口の弱点は、ワンタイムPWなどのように認証コードが固定的でない場合は有効でない。
(2)パソコンに直接ウイルスを仕込んでネットバンキング利用時に偽のポップアップを開いてID/PWなどを盗み取る。この場合は、銀行サイトにアクセスできるので被害者はID/PWを盗み取られたことに気づかない。第2暗証があってもポップアップウインドウ経由で入力したらそのままスルーでやり取りできるのでログイン出来てしまう。恐らく、ログオフだけはスルーさせないようにしておけばいい。
この手口の弱点はポップアップウイルスをどのように忍び込ませるか。
>
最近は、銀行とかセキュリテイががちがちでない所を狙うものが多い。ショッピングサイトなどのアカウント情報を入手できれば勝手に買い物が出来てしまう。
ショッピングサイトでは固有のID/PWを管理する場合と、SNS認証を利用するものがある。いずれの場合も、有力な通販サイトやSNSのアカウント収集が最初の手順。
(1)先ず、アカウント取得用の偽サイトを作る。アップルでもアマゾンでも、どこでも利用者が多いところ。
(2)次に、メアド情報を集める。これは、収集装置を自分で動かしてもいいし、闇で大量に購入してもいい。付帯情報が少なければ安いものだ。ネット関連事業の普通の企業にも悪質な社員またはバイトがいて秋葉原で名簿を売る闇バイトをしている話は有名。
(3)巧妙にフィッシング詐欺メールを作成し配信する。
(4)偽サイト(フィッシングサイト)でアカウント情報を収集。
(5)最後に足のつきにくいタイミング、換金性の高い買い物をする。受け取りのためには幾つかダミーを用意する。
>
見抜く方法
- 日本語がおかしい。短い文章でも稚拙ことが多い。かな漢字変換のミスが混じる。
- 内容が非常識。 アカウント凍結などと言った脅し文句が入る。
- アカウントに関連する情報を要求している。本音が出ている。
- メール文の中にリンクが張り付けられている。リンクが必要なメールもあるからリンクの存在だけで疑うのは難しいが、リンク先のアドレスを見ると紛らわしいものになっている。apple.comの代わりに、apple-id.comとか。 判断が付きにくい時は、そのドメイン名の検索をする。多くの場合は、ネット上の有志がフィッシング詐欺の警告を出してくれている。
- メールの送信者は、例えばppleと表記させていて、実際のメアドを確認すれば、出鱈目な文字列が出てきたり、先ほどの紛らわしいドメイン名を付けている。
- 届いた(受信した)メールアドレスと、問題にしているSNSとか通販サイトとの関連が無い時は手当たり次第に送っている目0ルト分かる。
/
もっと基本的な心構えとしては、パッシブ(受け身の状態)で動かないこと。誰かに言われて動くと術中にはまる。
基本は、アクティブ(こちらが最初に働きかけた状態)で、システムのレスポンスを待つ態度。確認作業もいつもの手順で当該サイトにアクセスする。誰かのリンクでは駄目。
>、
- このようなフィッシング詐欺メールは断捨離以前の問題として、さっさと削除することだ。
※
