怖すぎるリアルタイムアタック機能付きフィッシング詐欺

　ゆうちょ銀行からメールが来ました。「ゆうちょ銀行からのご連絡（**記号**）」という件名で、差出人は「【ゆうちょ銀行】」になっています。内容は、お客様のアカウントに不正ログインされた可能性が高いので、資金の安全性を確保するため、対策処理をしてください、というものです。日本語に誤字・脱字がありますし、試しにメールアドレスを確認したところ、無茶苦茶な文字列のアドレスだったのでネット詐欺確定です。

ゆうちょ銀行を名乗る相手から怪しいメールが来ました

　とはいえ、中身を確認すべく、クリックしてみました。すると、ゆうちょ銀行のモバイルサイトとほとんど同じページが開きました。PCで開いてみると、同様にPC向けのページが開きます。芸能人の写真までコピーし、メニューなどもすべて用意されています。ただし、動作するのは「ログイン」だけです。

　ただ、筆者が全てのリンクをタップしまくっていたら、中国語の404エラーの画面に飛びました。セキュリティ対策が甘いようです（笑）。

本物そっくりのウェブサイトが開きました。PC版もあります

一部のメニューをタップするとエラーが表示されました

　ログインをタップすると、お客様番号入力の画面が開きました。本物の番号を入れるのは怖すぎるので、適当な数字を入れます。すると、「子供のころに憧れた人の名前は何？」と合言葉を求められました。ゆうちょ銀行では、合言葉を2つ入力することでログインできます。そこで、また適当な言葉を入れて「次へ」をタップしました。

　すると、少し待たされてから「エラーが発生しました！」と表示されたのです。そして同じ画面が開きます。普通は、ここで2個目の合言葉を聞いてくるはずです。エラーにしてしまったら、それ以上の情報を盗むことができなくなります。そこで、いろいろな番号でアクセスし、いろいろな答えを入力しました。しかしすべて1回目の合言葉でエラーが起きます。これでは、フィッシング詐欺の意味がありません。

合言葉を求められたので、適当に入力してみます

エラーになってしまいました

　しかし、いろいろ試していて、恐ろしいことに気が付きました。合言葉を入れてから、数秒から数十秒待たされることがあるのですが、バックグラウンドでその情報を本当にゆうちょ銀行に入力している感じなのです。そのため、適当な情報だとエラーになるのです。確かに、本家のサイトで試したときも同じエラーが表示されました。非常に精巧な偽のウェブサイトをゆうちょ銀行のサイトにかぶせて動作しているイメージです。

　もし、本当のアカウント情報を入れていたら、画面が進み、お金にアクセスできた段階でコントロールを奪うのでしょう。その先を見たいため、使っていない残高ゼロのゆうちょ銀行の口座を用意して試そうとしたときは、偽サイトは消滅していました。

　対策としては、フィッシング詐欺に引っかからないようにすることが重要です。一般的なフィッシングであれば、引っかかったことに気が付いてすぐに対処すれば、被害を回避できる可能性があります。しかし、ダイレクトに裏側でログインしようとするネット詐欺であれば、入力した時点でアウトです。

　怪しいURLは開かない。サービスにログインする際は自分で検索してトップページからアクセスする。お金に関わるメールはネット詐欺を疑う、といった防御策を徹底しましょう。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。