DHLやUSPS、その他の配送業者になりすました宅配便詐欺が増加している。セール期間に限らず、常に安全を保つ方法について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
騙す相手と、騙し取る資産があるところには、サイバー犯罪者が潜んでいる。パンデミックの最中であれば、新型コロナウイルスに関する最新のニュースに興味があるインターネットユーザーが詐欺の標的となっていた。これらに関連したフィッシングメールを、日次で1,800万件ブロックしたとグーグル社は発表している。
また、パンデミックとともに利用が急増したeコマースは、現時点でも活況だ。2019年から2021年の間にオンライン販売は56%増加したと推定されており、今後も増加していくと予測されている。これは、配送業者になりすます詐欺師にとって、新たなチャンスとなっている。
冬休みや大きなセールイベントが近づくこの時期は、データや金銭を詐取したり、コンピューターをマルウェアに感染させたりすることを目的とした宅配便詐欺に特に注意するべきだ。
宅配詐欺は、どれほど起きているのか?
eコマースは極めて便利になっている。マウスをクリックするか、スマートフォンでスワイプするだけで、世界中の商品が玄関先に届く。しかし、便利がゆえに問題につながることも多い。例えば、過去2週間に注文したすべての商品について、どこで購入して、どの会社が配送したのかはっきりと記憶しているだろうか?詐欺師は、配送業者になりすましてフィッシングメールやテキストメッセージを送りつけてくる。配送に問題が発生したとして、詐欺サイトへ誘導するよう急かしてくるのだ。
最新のESETサイバーセキュリティ脅威レポートによると、2022年1月~4月の期間に比べ、2022年5月~8月に検出された配送に関するフィッシング詐欺の件数は6倍に増加したと報告された。これらのフィッシングメールには、DHLやUSPSに偽装したメッセージが含まれ、配送先住所を確認するよう促してくる場合が多い。ESETがブロックしたフィッシングURLは、2022年最初の4ヶ月と比較して28%増加し、その数は470万件に達した。配送業者や物流業者のロゴを掲載した偽サイトのカテゴリーは、フィッシング詐欺の標的として、ソーシャルメディアや金融(銀行)サービスに次ぐ3番目となっている。
犯罪者は何を狙っているのか?
これらのフィッシングメールに含まれた悪意のあるリンクをクリックした場合、何が起こるのだろうか? 一般的には、個人情報を入力させたり、存在しない手数料を支払うよう促す偽サイトへ誘導される場合が多い。ただし、クリックするだけで気づかないうちにデバイスへマルウェアがダウンロードされるケースもある。
詐欺師がアカウントのパスワードを狙っている危険性も覚えておいてほしい。オンラインアカウントを乗っ取る、銀行のログイン情報やクレジットカード情報といった個人情報を詐取する、それらを別の詐欺に悪用する、といったリスクも考えられる。上記のように、コンピューターからパスワードなどの情報を盗むのはマルウェアによって行われる。加えて、ランサムウェアを介した脅迫もあり得る。
FBIによると、昨年に報告されたインシデントの中で、フィッシングと、それに類似した手法が最も多く、被害額は4,400万ドル(64億円相当)に上った。しかし、詐欺の被害は報告されない場合もあるため、実際の被害額はもっと高額となるだろう。
宅配便詐欺はどのように行われるのか?
今や誰もが多くの宅配便を自宅で受け取っているため、そのすべてを把握するのは困難だ。配送業者からメッセージを受信したり、電話を受けたりすることで、配送時間やそのほかの情報を確認することは一般的となった。そして場合によっては、それらのメッセージに返信する必要がある。詐欺師は、そのようなメッセージで詐欺を働こうと企むのだ。
以下のような例が見受けられる。
配送を完了させるための追加請求
=======================
配送状況の追跡
今すぐ配送を完了させるため、1.65ドル(240円相当)を支払い、再配達を依頼してください。
14日以内に「次へ」をクリックし、期限が切れる前にオンラインでの確認手続きを完了する必要があります。
追跡番号の入力
=======================
配送先住所の誤りによる追加請求
=======================
配送不能
配送先住所の誤りのため、配送できませんでした。
商品を受け取るには住所を確認し、配送料を支払ってください。
=======================
(存在しない)小包を追跡するための認証情報(メール/パスワード)の要求
=======================
認証の要求
受信者に届けられる商品
配送を追跡するには、IDを所有していることを確認してください。
メール・パスワードを入力する
このデバイスでメールアカウントを記憶する
配送を追跡する
=======================
「配送不能」を理由とした氏名・住所・電話番号の入力要求
=======================
配送先住所に問題があります。
配送不能や、その他の問題があった際には、USPSは配送先住所へ商品を再配達します。
加えて、商品が届くまでの間、追跡が可能です。
住所の確認
通知した配送について、まず、住所を確認する必要があります。
氏名:
住所:
州:
都市:
- アカウントの保持者を確認するため、上記の情報が使われます
- 入力した情報は、USPSの情報と照合されます
- すべての項目は必須であり、継続するには正しく情報を入力する必要があります
=======================
テキストメッセージを使って顧客に最新情報を提供する配送業者が多いことを悪用した、いくつかの種類のスミッシング詐欺(テキストメッセージによる詐欺)が見つかっている。その手法は共通しており、受信者が誤った判断を下すよう切迫感を煽るものだ。スミッシングの場合、以下のような理由で、よりクリックするリスクが高まる傾向にある。
- 受信者は忙しくしており、十分に注意を払っていない
- 偽の送信者ドメインを確認する方法がない(電話番号のみが表示され、それも容易になりすませる)
- テキストメッセージに含まれる文字数は通常少なく、そのため、文法の誤りを見抜くチャンスが減る
- ロゴが表示されず、なりすます必要がない
詐欺から身を守る方法
幸いなことに、セール期間中に紛れ込む宅配便詐欺のリスクに対処するためにできることは多い。以下の対策を検討してほしい。
- 見知らぬメールやテキストメッセージに含まれるリンクをクリックしない。ログイン情報や金融サービスの情報を含め、個人情報は入力しない。
- 定期的にデバイスのバックアップをとる。
- フィッシング詐欺の兆候に気を付ける。例えば、催促、突然の金銭要求、なりすましたURL、スペルミスや文法ミス、配送のための支払い要求が挙げられる。
- 不審なメールを受信したら、メッセージに含まれたリンクをたどるのではなく、配送業者の公式Webサイトを利用する。
- フィッシング対策機能を備え、信頼性の高い総合セキュリティソフトをすべてのデバイスにインストールする。
忙しくて何を購入したか忘れてしまったり、ほかの人が購入した贈り物を受け取ったりする機会も増えてくる。慌ただしい日々に突入する前に、被害に遭わないよう宅配便詐欺について理解を深めてほしい。
一度、詐欺師が用いる技術やテクニックを見極められるかどうか、自身でテストしてみてはどうだろうか? ESETチーフセキュリティエバンジェリストであるTony Anscombeによるテストでは、それぞれのメッセージについて、本物か偽物かを見分けるためのヒントが含まれている。ぜひ試してほしい。