メモ

フィッシング詐欺の手口が専門家ですらダマされそうなほど巧妙になっていることがわかる実例

by Pawel Janiak

メールに記載したURL経由でクレジット番号やアカウント情報を抜き出すフィッシング詐欺の被害はますます増加しており、その手口も巧妙になってきています。セキュリティの専門家であるJeffrey Ladishさんが、フィッシング詐欺に気づかず危うく被害に遭いそうになったとして、最新の詐欺手口について公開しました。

Anatomy of a rental phishing scam ???? - jeffreyladish.com
https://jeffreyladish.com/anatomy-of-a-rental-phishing-scam/

人間ではなくコンピューターによって作り出された文面をメールで送りつけてくるフィッシング詐欺は、多くの場合、その文面の不自然さから「詐欺である」と見抜くことができます。しかし、Ladishさんが遭遇した詐欺手口では文面はごく自然なもので、3回目のメールのやりとりでようやく「これは詐欺だ」と気づいたとのこと。

Ladishさんが詐欺に遭いそうになったのは、Craigslistでアメリカ・サンフランシスコの賃貸住宅を探していたとき。リストの中から気に入った物件を見つけたLadishさんは、メールを通じて自分の電話番号を貸主に伝えるとともに、ページ上に記載されていなかった貸主の電話番号を尋ねました。


すると「[email protected]」というメールアドレスから以下のような返信が来たとのこと。「David Grinde」と名乗る人物から届いたメールには「自分は仕事の関係で遠くにいるため、貸し出している家を使っていないこと」「長期、最低3カ月は借りてくれる人を探していること」が述べられ、加えて賃貸期間や引っ越してくる人数や年収といった問いが一問一答形式で記されていました。Ladishさんは尋ねていないことについて語り出すDavid Grindeについて奇妙な人だとは思ったものの、この時点でフィッシング詐欺とは思っていませんでした。


というのも、それまでに賃貸住宅を探す過程で、貸主の多くが物件の遠くで暮らしていたため、内容自体は不自然ではなかったためです。質問も貸主であれば気になるであろう内容で、文法上の不自然さはありませんでした。そのため質問に答える形でLadishさんはメールを返信。すると、「いいですね。あなたに家を貸したいと考えています」と受け答えがきたのですが、一方で電話番号を尋ねたLadishさんに対し、相手から「携帯電話での受け付けがないので、メールで話を進めたい」と返答がきました。


さらに、「支払いはAirbnb経由で行ってもらいたい」という申し出があったときに、Ladishさんは「これはフィッシング詐欺ではないか?」と疑いを持ったそうです。メールにはDavid Grindeを名乗る人物の写真が添付されていましたが、これについてもLadishさんは「メールの送り主が自分は実在の人間であると説得力を持たそうとしている」という印象を持ったと語っています。

そして、フィッシング詐欺か否かを見分けるためにLadishさんはAirbnbのURLを相手に要求。以下が相手から送られてきたメールで、リンク先は「https://airbnb.com/rooms-83710948……」と続いており、一見するとAirbnbの正規のURLのようにみえます。


しかし、リンク先を確認してみると実際には「https://airbnb.com/rooms-83710948」ではなく「https://airbnb.com.rooms-83710948.town」というドメインだったことが発覚。


これが実際にリンク先のページを開いたところ。スクリーンショットを撮ったときにはアドレス欄に「Dangerous」と表示されましたが、最初に、メール相手とやりとりしている最中にはこの表記は現れなかったとのこと。


この手口についてLadishさんは「フィッシングチームのオペレーションはしっかりしていました。彼らの英語は完璧で、メールもプロフェッショナルに見え、フィッシングサイトもAirbnbの見た目と同一でした。『engineers-hibernia-chevron.ca』というメールドメインが『https://www.hibernia.ca/』というウェブサイトにリダイレクトされるのも、正当性を加えています」とコメント。

さらに、フィッシングチームは電話番号といった情報をあえて抜いていたのだとLadishさんは分析。こうすることで、借り主が貸主にメールで電話番号やAirbnbのURLなどを尋ねる必要が生じ、「相手に手間を取らせている」という感覚が生まれます。そして、何度もやり取りして最後にAirbnbのURLを仲介することで「信頼できる」という印象を与えるという手も巧妙で、「これが早い段階で銀行口座の情報を求めていたら警戒されて詐欺だとすぐにバレていただろう」とLadishさんはみています。


上記の経験から、Ladishさんはオンラインで身を守るための以下4つのポイントを示しています。

1:見知らぬ人とオンラインでやりとりする時はリンクのソースまでチェックすること。
2:メールアドレスは偽ることが可能でドメイン名は見た目通りではないと覚えておくこと。「[email protected]」というメールアドレスでも実際にはFBIが送ったメールではありません。
3:「相手が自分を本物だと納得させようとしている」兆候を見つけること。
4:今回の最初の違和感は「メールでしかやりとりできない」と相手が告げたことでした。遠隔地にいる相手とやりとりする場合、ビデオ通話・Facebookなど、複数の方法を用いて相手が本物であることを確認するべきです。

この記事のタイトルとURLをコピーする

・関連記事
自分がフィッシング詐欺に引っかかりやすいかどうかをテストできる「フィッシング・クイズ」をGoogle傘下のjigsawが公開、実際に使ってみた - GIGAZINE

偽の部屋の写真・偽のレビューを使って粗末な部屋に宿泊させお金をむしりとる詐欺行為がAirbnbで横行していた - GIGAZINE

社内で「フィッシング詐欺試験」を行うとむしろ業務に悪影響が出る - GIGAZINE

若いネットユーザーは中年より「フィッシング詐欺に弱い」ことが判明、パスワードの管理もお粗末 - GIGAZINE

人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ - GIGAZINE

in メモ, Posted by logq_fa

You can read the machine translated English article here.