「あなたの恋人が浮気をしていますよ、証拠を見るにはここをクリック」とだます詐欺メールが登場、被害者の旧姓やペットの名前などの個人情報も調べる不気味な手口
近年、「受信者の配偶者が不貞行為をしている」という偽の告発をメールで送信して受信者の不安を煽り、本文内にある「配偶者の浮気の証拠」とするリンクに誘導するケースが報告されていると、ITセキュリティ関連のニュースサイトであるBleeping Computerが警鐘を鳴らしています。
Sextortion scams now use your "cheating" spouse’s name as a lure
https://www.bleepingcomputer.com/news/security/sextortion-scams-now-use-your-cheating-spouses-name-as-a-lure/
Bleeping Computerによると、攻撃者はデータ漏洩やソーシャルエンジニアリングなどの手法を用いて、婚活サイトや出会い系サイトなどから個人情報を入手している可能性があるとのこと。受信者や配偶者の名前、旧姓、ペットの名前などを公開されていない個人情報を使用することで、メールの信憑性が高まります。また、配偶者の不貞行為という非常にセンシティブな話題を持ち出すことで、受信者の恐怖心や不安を煽ります。
次に、メールスプーフィングという手口でメールのヘッダー情報を改ざんし、信頼できるソースから送られたように見せかけたメールを作成します。メール本文には、受信者を危険なウェブサイトに誘導するフィッシングリンクが含まれています。そして、「証拠がある」と主張することで緊急性を創出し、受信者にリンクへのクリックを促します。
以下は実際に送られてきた詐欺メール。受信者や婚約者の名前がメール本文に記載されており、婚約者が浮気している証拠や詳細へのリンクを促すような文面となっています。
オンライン掲示版サイトのRedditにも同様の詐欺メールの文面が投稿されていました。メールを受信したのは、投稿したRedditユーザーのパートナーだったとのこと。
もちろん、興味を持ってメール本文中のリンクにアクセスしてしまうと、ログイン情報が窃取されたりマルウェアがインストールされたりする可能性が非常に高いとのこと。また、大量のメールを効率的に送信するため、ボットネットや自動化ツールが使用されているケースもある模様。
Bleeping Computerによれば、このタイプの手口は2018年頃から登場しており、被害額が1週間で5万ドル(約700万円)にのぼったこともあるとのこと。同様の手口は他にも、殺し屋契約を装うもの、爆破予告を行うもの、CIAの捜査を装うもの、ランサムウェアのインストールを脅迫するものなどがあるそうです。
Bleeping Computerは、このような脅迫メールを受け取った場合の対処方法として、以下を推奨しています。
・メールが詐欺であることを認識する
・リンクをクリックしたり、要求に応じたりしない
・メールを単に削除する
・個人情報の保護に努める
・オンラインでの警戒を怠らない
・関連記事
ロシアのスパイ機関はターゲットがよく知る人物になりすまして攻撃を行っているという指摘 - GIGAZINE
セキュリティ企業が雇ったリモートワーカーが実は北朝鮮のハッカーだった - GIGAZINE
OpenAIとMicrosoftが「中国・ロシア・北朝鮮・イランのハッカーがAIを使ってハッキングしていた」と報告 - GIGAZINE
Trelloのユーザー約1511万人分のメールアドレス流出か、自分のメールアドレスが含まれているかどうか調べる方法はコレ - GIGAZINE
サイバー犯罪者がチャットAIをビジネスメール詐欺に活用している - GIGAZINE
FBIがハッキングされハッカーの偽メール送信に利用される - GIGAZINE
学校区を丸ごとハッキングし6つの高校に「釣り動画」を流した元高校生ハッカーが当時の経緯を全公開 - GIGAZINE
・関連コンテンツ