詐欺の被害者になってしまわないためには、早期に詐欺だと見抜く必要がある。本記事では、詐欺師があなたに近づいてきたことを知らせる、注意すべき10のサインを解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
誰もが多くの時間をオンラインで過ごすようになった。平均的な成人は、1日あたり約7時間をデバイスのスクリーンの前で費やしている。仕事が終わるとすぐにアプリを開き、テレビの視聴、オンラインバンキング、ゲーム、友人との会話、さらには医師の診察まで受けられるようになった。
デジタルでの取引が一般的になり、私たちが個人情報や決済情報をさまざまな企業へオンラインで日常的に提供している状況を、サイバー犯罪者や詐欺師は熟知している。そして、重要な情報や資産を、さまざまな方法で窃取する機会を詐欺師は狙っているのだ。
詐欺師から身を守るためには、誰もがデジタル技術に精通する必要がある。悪意のある人々が用いる典型的な攻撃手法を知っておくことで、オンラインサービスを安全に利用し、個人情報や資産を保護できるだろう。
詐欺師があなたに近づいてきたことを知らせる注意すべき10のサインをまとめた。
1. 見知らぬ相手からメッセージが届く
多くの詐欺やサイバー攻撃の基本的な手口として、典型的なフィッシングメールやテキストメッセージ(スミッシング)が知られている。一般的に、フィッシング詐欺はソーシャルエンジニアリングを駆使して行われる。
例えば、政府や大手ベンダー、銀行などの著名な組織の代表者になりすまし、拙速な意思決定を促すといった方法で詐欺師の指示に従うよう仕向ける。最終的な目的は、アカウント情報や個人情報、決済情報などの詐取や、端末へマルウェアをダウンロードさせることだ。以下のようなメールが届いたら要注意だ。
偽のメール通知
=======================
新しいデバイスからのログイン
PayPalアカウントで不審なアクティビティを検知しました。不正アクセスの可能性があります。
新しいブラウザー、またはデバイスから、あなたのPayPalアカウントへアクセスがありました。
ログイン詳細
Windows
2019年12月15日
Chrome 65.0
身元を確認する手続きを完了するよう、PayPalアカウントへログインしてください。アカウントを保護するため、必要な手続きを完了するまでアカウントは制限されます。
PayPalアカウントのセキュリティは優先事項であり、アカウントを保護するために協力をお願いします。
クリックして身元を確認する
このメールが通知された理由
私たちはセキュリティを重要なものと考えます。通常とは異なるデバイスやブラウザーからログインがあった際には、ユーザーへ通知します。このデバイスまたはブラウザーを、あなたが以前に使用したか確認することができませんでした。新しいデバイスやブラウザーから初めてログインするときや、プライベート閲覧モードからログインしたとき、Cookieを消去したとき、あるいは、ほかの誰かがアカウントへアクセスしたときに通知されます。
PayPalセキュリティチーム
=======================
2. 突然電話がかかってきて、個人情報などを聞かれる
音声によるフィッシング、つまりビッシング詐欺も増加傾向にある。ある調査では、2022年の第一四半期における発生件数が、前年比550%になったと報告された。詐欺メールに書かれた番号へ電話させるなど、多段階のフィッシング詐欺に使われる場合もある。このような「ハイブリッド型」の手法は、ビッシング詐欺全体の26%を占める。また、突然電話をかけてくる方法もよく見られる。例えば、コンピューターに問題があったと騙す「テクニカルサポート詐欺」や、個人情報か決済情報を含んだ重要なオンラインアカウントに問題が発生したと偽る詐欺だ。
留守番電話に残されたヴィッシングメッセージの書き起こし(出典:Twitter)
=======================
社会保障庁本部のジャネットと申します。あなたの社会保障番号が漏えいしたため、一時的に停止されました。本日中にパラリーガル事務所へ至急電話してください。番号は908-xxx-xxxです。繰り返します。908-xxx-xxxです。よろしくお願いします。
=======================
3. 行動を急かされる
拙速な判断を迫って標的を焦らせる手口は、ソーシャルエンジニアリングやフィッシング詐欺でよく使われる。
期限が目の前に迫る抽選を装ったやり方や、税金を支払わなければ商品を返品するという偽の配達通知などがある。さまざまな方法で私たちを焦らせて、悪意のある添付ファイルを開かせたり、リンクをクリックさせたり、個人情報を入力させたりするのが狙いだ。
4. メールに誤字や文法ミスが含まれ、違和感がある
送付するメッセージに信憑性をもたせるよう詐欺師も試行錯誤を重ねており、詐欺を仕掛ける際にChatGPTのようなツールも利用している。しかし、ソーシャルエンジニアリング詐欺で完璧な文章が送られてくることは滅多にない。ソーシャルエンジニアリング詐欺では、Gmailなどの無料アカウントからメッセージが送られ、「お客さまへ」といった汎用的な挨拶で始まる。文法ミスが多い場合は、相手は詐欺師と考えて差し支えないだろう。通常、公式サイトから送られてくるメッセージには、誤字や文法ミスが含まれていないものだからだ。
5. 更新ファイルをダウンロードするよう要求される
更新ファイルやプログラムなどをダウンロードするよう仕向けてくるフィッシング攻撃に注意すべきだ。ソフトウェア更新は安全で最適化されたユーザー体験に重要だが、正規のソースからダウンロードしているかを確認する必要がある。つまり、ベンダーの公式サイトやアプリストアに掲載されていないものや、十分に検証されていないファイルやプログラムをコンピューターにインストールする際は細心の注意を払う必要がある。具体的には、フィッシング攻撃は携帯電話キャリアのような事業者や、正規のベンダーになりすましたメッセージから始まるものが多い。
=======================
ESET研究部門
トロイの木馬型「WhatsApp ピンク」は、WhatsAppだけではなく、Signal、Skype、Viber、Telegramなどのメッセージアプリで受信したメッセージへ自動返信する。自動送信されたメッセージには、マルウェアを拡散するWebサイトへのリンクが含まれている。
#ESETresearch @LukasStefanko 1/3
=======================
6. マルウェア駆除を装う電話番号を記したポップアップ警告が表示される
テクニカルサポート詐欺を仕掛けるために、偽のポップアップ警告が表示される場合がある。悪意のあるWebサイトを訪問した後、画面に偽のポップアップが表示される仕組みだ。ポップアップには、「使用中の機器がマルウェアに侵入されており、回復するにはサポートへ電話をかける必要がある」と偽のメッセージが表示されている。実際に電話をかけると、詐欺を仕掛けるコールセンターへとつながってしまうため、注意が必要だ。
テクニカルサポート詐欺の例
=======================
システム故障!
スキャンによって、あなたのデータに損害を与え得る3つの脅威を検知しました。
問題を解決するには「OK」をクリックしてください。
Google Chrome
あなたのシステムは感染しています!
保護するには、ここをクリック!
=======================
7. あり得ないほどお得な情報が舞い込む
詐欺師は、多くのインターネットユーザーが持つ心の隙につけ込むことが多い。高価な商品が劇的に安い値段で売り出されたと装ったり、アンケートに参加するだけで豪華賞品がもらえると騙したりする。さらに、絶対に損をしない暗号資産(仮想通貨)への投資をもちかけるケースさえある。結論として、信じられないほどお得な情報は詐欺だということだ。
あなたは宝くじに当選していません
=======================
FIFA
幸運な当選者へ:
おめでとうございます!
FIFAワールドカップ2022カタール大会の抽選会で当選しました。全世界のメールアドレスの中からコンピューター抽選により、あなたのメールアドレスが選ばれたのです。50人の当選者には150万ドル(2億円相当)が授与されます。この賞金はマスターカードATMに振り込まれたので、全世界、どのATMからも引き出すことができます。
以下に、当選確認の詳細を記載します。情報は内密にし、申請の重複を避けるため、必要な場合のみ認証されたエージェントに提示してください。申請が重複する場合、キャンセル扱いとなります。
賞金を申請する方法:当選通知日から60日以内に賞金を申請しなければなりません。この期間に申請されなかった賞金は無効となります。賞金はATMカードに振り込まれており、どの国のATMでも引き出せるようになっています。米国の発送エージェントに申請するために、以下の当選確認情報をメールで送ってください。 +1 9402483584
以下に、内密にするべき当選確認情報を記します。
当選確認情報: 当選番号:QFW2022F バッチ番号:59864278
(1)氏名
(2)性別
(3)国
(4)州・地域
(5)都市コード
(6)電話番号・携帯電話
(7)誕生日
(8)職業
(9)当選金額
(10)当選番号とバッチ番号
エージェント:Spogter Jacobus
DHL経由でカードを送付するため、エージェントに連絡してください。
3日以内に届きます。
=======================
8. 短期間で愛を告白される
出会い系サイトで交際相手を探す場合、そこで見かける多くのプロフィールが偽物であると認識するべきだ。
詐欺師は標的と親しくなるとすぐに、暗号化されたメッセージングアプリのような監視されていないチャンネルで会話を試みる。そして愛を告白し、標的から金銭を詐取しようとする。詐欺師は標的となった相手を騙して、医療費やバレンタインを一緒に過ごすための飛行機代を支払わせようとするのだ。
9. プレゼントがもらえるアンケート入力を求められる
前述のとおり、個人情報や決済情報の詐取を目的としたアンケート詐欺が年々増加している。偽のアンケートとプレゼントを使った犯罪キャンペーンでは、毎月8,000万ドル(100億円相当)の収益を生み出しているという。豪華な景品や、信じ難い申し出には注意してほしい。プレゼントと引き換えに、個人情報を送信させたり、存在しない商品発送のために少額の手数料を支払わせたりするなど、落とし穴が必ずあるからだ。
2018年に解説した詐欺キャンペーンの一部(このアンケートは本物ではない)
=======================
69周年を祝して、2500足を無料でプレゼントします。
残りの靴:ロード中
まず、アンケートに参加してください。
質問1:アディダスの靴は好きですか?
はい
いいえ
=======================
10. 即時送金アプリで金銭を要求される
Zelle、Cash App、Venmoなどの即時送金アプリによって、友人や家族への支払いが極めて簡単になった。詐欺師も、オンラインで存在しない商品を販売したり、ロマンス詐欺を仕掛けたりする際には、これらのアプリを介して支払いを要求してくるため注意が必要だ。また、友人や家族になりすまして急にお金を要求したり、正規の会社になりすまして請求書を送ったりしてくるケースもある。即時送金アプリを使って金銭が盗まれた場合、カード決済とは異なり、お金を回収する手段が残されていないことを覚えておくべきだ。
現金と同様、一度失うと戻ってくることはないのだ。
詐欺の種類は多岐にわたるため、オンライン上で身を守るには疑い深くなる必要がある。正規のサイトやアプリと断言できないものはダウンロードしてはならない。見知らぬメールやテキストメッセージには返信せず、電話口で情報を開示しないよう注意してほしい。
