テキストメッセージによるフィッシング詐欺のやり口を見極める方法を解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
いつもの配送会社からテキストメッセージを受信したら、多くの人はそれを疑うことはないだろう。では、なぜ疑いもせず、信じてしまうのか? 最近ではオンラインで注文する機会も増えているが、複数の注文に関する通知が一つにまとまってくる場合もある。たとえ、商品を注文していなかったとしても、注文の通知を普段から受け取っているため、思わずリンクをクリックして詳細を確認したくなるものだ。
最近、配送業者を装ったSMSフィッシング(スミッシングとも呼ばれる)詐欺が増加傾向にあると感じているが、先日、義母から慌てた様子のメッセージが届いた。
「ジェイク、私はクリックしてはいけないものをクリックしちゃったかもしれない。助けてくれない?
詐欺がどんどん、ずる賢くなってるみたいね。」
彼女に該当するメッセージのスクリーンショットを送るよう頼んだ。
「あなた宛ての荷物に関するお知らせです。通関手数料未払いのため、商品が止められています。以下の案内に従ってください。z0v…」
送られてきたスクリーンショットを見ると、明らかに標的にリンクをクリックさせ、金銭を支払わせようとするスミッシングのテキストメッセージであった。しかしなぜ今、このような詐欺が増えているのだろうか? クリスマス前には、ソーシャルメディアのタイムラインは、このようなメッセージを受信する機会が増え、簡単に騙されてしまう人々の怒りの声でいっぱいになった。
詐欺師の常套手段として、改ざんが挙げられる。また標的に気付かれないために、詐欺師はその手法を巧妙に変え続けている。多くの人々は典型的なフィッシングメールには慣れてきており、ベストプラクティスや啓蒙が徐々に広まってきた。
しかしSMSを悪用したスミッシングのメッセージは、まだそれほど注目を浴びていない。それゆえに多くの詐欺師がスミッシングの機会を狙っているのだ。SMSメッセージは、送り主のアドレスを表示しないため、視覚的に本物かどうかを検証するのが難しい。(送り主のアドレスがあるからといってメッセージが本物であるとは限らないが)電話帳に実在する連絡先とのチャット履歴を添付してくるものもあり、一見すると、セキュリティの専門家にも本物に見えてしまうのだ。
このようなメッセージを受け取ったときに取るべき対策の話に移る前に、私なりに調査し、発見したことを紹介したい。まずメッセージの作成方法や仕組み、その背景にある詐欺師の心理について理解するのは重要だからだ。こうした取り組みは効果があるはずだ。そうでなければ受信箱にこのようなメッセージが殺到し続けることはないだろう。
メッセージに含まれるリンク先を確認するにあたり、悪意のあるサイトへ誘導された場合に備え、通常の環境から隔離されたネットワーク、およびコンピュータ―を使用した。リンクは短縮されたURLで、以下のサイトに誘導された。
URLを有名な配送業者に似せようとする形跡はなかったが、配送に関連する単語は含まれている。当初、リンクのサブドメインは義母に対して特有のものと考えたが、他のサブドメインを複数試したところ、有効なサブドメインは存在しなかった。このことから、詐欺師はどの電話番号でリンクがクリックされたか、あるいはクリックされていないかを追跡していないことがわかった。このように、被害者が「騙されやすい人リスト」に登録されてしまう可能性もあるのだ。
誘導させられた最初のページでは、手数料が表示されるとともに配送期日を決めるよう促された。筆者はVPN(バーチャル・プライベート・ネットワーク)を介して、あたかも別の国からページに訪問したように見せかけようと試みたが、英国内でのみ利用できるようであった。これは、詐欺師が持つ仕組みがそれほど高度ではないことを意味する。興味深いのは、注意して見てみると、詐欺師がUPSの代わりに「IPS」という社名を使っていることだ。そのロゴを本物に似せるための工夫もしていた。なぜ本物のロゴを使わないのだろうか。彼らが著作権について心配しているとはとても思えない。
案内に従ってクリックしていくうちに、24~48時間以内に「荷物」が届くと表示されたページにたどり着いた。「今すぐ配送日を指定する」を何度クリックしたとしても、その後に表示される日付が正しかった点には驚かされた。
しかし、「配送先情報を入力する」をクリックした後は、別のWebサイトへと誘導され、奇妙なことにそのページではiPhoneの特別セールが表示された。わずか1ポンドで携帯電話が買えるという。続いて、クレジットカード番号とセキュリティコードを含む個人情報を入力するよう促された。これも奇妙なことだが、なぜ詐欺師は本物を巧妙に偽装した「配送」に焦点を合わせず、この段階になってから携帯電話セールのオファーに切り替えて標的を騙そうとしているのだろうか。
別の事例について
より驚かされた別のスミッシング事例を紹介しよう。今度は英国の配送業者であるロイヤル・メール社のWebサイトに似せたリンクが含まれていた。URLは本物を似せたものですらなかったが、Webサイトは前述の「UPS」の偽造サイトと比べても、より本物に近いと感じた。
偽のロイヤル・メールのWebサイトは、下記の画像のとおりだ。
「配送日を指定する」のリンクをクリックすると、氏名・住所・誕生日・銀行口座、さらには母の旧姓(ロイヤル・メールがこの情報を必要とするだろうか?)を含んだ個人情報を入力するよう促された。
その後、支払い情報の詳細へと進むことができた。全ての項目を入力し終えると、荷物が配送されるのに必要な少額の手数料(2.95ポンド)が表示され、ここでクレジットカード情報の入力が求められた。私は偽のデータを入力しようとしたが、「クレジットカード番号は16桁必要です」というような入力チェックが行われていた。しかし、その際には既に別のWebサイトへと誘導されていた。実はこのWebサイトは詐欺師によってハッキングされた本物のWebサイトであった。そこで、当該Webサイトの管理者へ状況を連絡し、現在、同サイトは停止されている。
調査の結果、DPDという配送業者を騙るスミッシングメールについて、BBCのインタビューに答えた被害者を見つけた。彼は再配達に2ポンド支払うよう要求され、残念ながら上記のスクリーンショットにあるとおり、画面の指示に従って自分の銀行口座の情報を入力してしまった。2日後に銀行口座を確認してみると、英国Apple社から身に覚えのない、409ポンドの商品購入があることに気付いた。結局、彼の場合は、詐欺に遭った金額を銀行が払い戻したが、誰もが払い戻しを受けられるというわけではないだろう。
慌ててクリックしないこと
詐欺メールは巧妙さを増している。中でも脅し文句や得をするかどうかに関わらず、何かを「急かしてくる」メッセージについては注意が必要だ。感情を揺さぶるメッセージを送りつけることで、詐欺師は無意識のうちにあなたを操ろうとする。これは心理学に裏打ちされた、悪質な手法だ。やり取りに疑問を感じるよりも先に、すぐに反応してしまうよう巧妙に仕向けてくる。
フィッシングやスミッシングの詐欺に引っかかりやすい人に向けてアドバイスを送り、啓蒙し続けたい。筆者の義母のような極めて人を信用しやすい人たちは詐欺師に騙されやすい。当サイトの読者は、おそらく偽のメッセージを見分けることに長けているだろうが、そのようなセキュリティに関する知識を有していない人たちを助け、支援していく必要があるはずだ。繰り返すが、どんなメールであっても、慌ててクリックしてはならない点は忘れずに覚えておこう。