STAFF BLOG

フクール
スタッフブログ

フクール社員のブログです。日々の出来事、お役立ちを載せています!

株式会社フクールのスタッフブログです

巧妙なお知らせメールにご注意を~えきねっと・Amazon・メルカリ~

こんにちは山本です
久しぶりに記事を書きます。

以前よりずっと書こうと思っていてやっとかけました笑

 

皆さん、使用した覚えのないサイト、または使ったことがあるようなサイトから
アカウント情報を確認してくださいだとか、情報がロックされていますだとか 

とにかく重要な空気を出したメールが届きませんか?

それ詐欺メールです。

とはいえ、迷惑メールは昔からあるものですが、
最近特に巧妙になっているので注意喚起も兼ねて、実際のメールからどの様に偽物だと判断するか
その方法と注意点をご紹介いたします。

 

実際に来たメールはこちら

う~んそれっぽいですね。

えきねっとを使ったことがある上、使用していない期間もそれぐらいだったので
一瞬本物と思ってしましました。

じつは、本物の「えきねっと」でもこのような案内を出していたようで
今回それを流用したような偽メールのようでした。
(そのため本家では対策としてこのようなメールの配信を取りやめたそうです。)

見分け方 その1 :アドレス

まず送信者のメールアドレスが違います。
矢印の部分は表示名ですが、ここは本物のアドレスと同じにしてありました。
メールソフトによっては表示名しか表示されないこともありますので注意が必要です。

ちなみに言うとメールアドレスの偽装、ドメインの偽装等を行い、
本物と全く同じアドレスで送られてくることもあるので
一概にアドレスが同じだからと、安心してはいけません。

見分け方 その2 :リンク先

表示されているアドレスと、実際にクリックしたときのリンク先が違います。

画像はOutlookですが、リンクの上にカーソルを重ねると
実際のリンク先が表示されます。
ハイパーリンクは表示内容と別のリンク先を設定することができる為、
こちらもアドレスが本家と同じだから~...といって安易にクリックしないよう注意が必要です。

と言うより、機密性が高い情報にアクセスする際はメールのURLからではなく
Web検索で公式ページを検索しそこから入っていったほうが安全です。

 

そのまま騙されてみた

 

驚いたのがここから・・
試しにこのまま偽サイトにアクセスしてみるとその ソックリさ

↓偽サイト

↓本物

瓜二つです。見た目では判断が付きません
と言うより、ソースコードをそのまま流用しているのだと思われます。
元に一部のボタンはそのまま本物のページに繋がるようになっていました。

違いといえば
アドレスが違います

メールアドレスとは違いこちらは偽装することはできません。
(厳密にはできますが、パソコンや使用者の環境に細工をする必要が有る為、今回のケースでは考えにくいです。)

見分けるには本家のアドレスを知っておく必要があります。あとはアドレスの違和感等ですね・・

試しに先へ進んでみる・・

偽ログインページにメチャクチャなIDとパスワードを入れてログインボタンを押してみました。

本家サイトであればメチャクチャなので当然先へ進めませんが・・・

 

・・・

 

先へ進めた!

今度は、個人情報を収集するためのソレっぽいページが出てきました笑
ここも適当に入力して先へ進んでみます。

 

出ました、クレジットカード情報です。
露骨に金につながる情報を引き出してきます。

さらに適当なダミー番号を入力し進んで行くと・・・

 

ドン!

3Dセキュア情報まで盗もうとしてくる容易周到ぶり

※3Dセキュアと言うのは 
クレジット番号に加え、登録した本人しか分からないパスワードの入力を合わせて行うことで、
第三者によるなりすまし購入などの不正使用を防止する仕組みです。

 

ここから更に入力し次へ進んでみたところ

まるで正常に手続きが完了したかのような画面が出てきた。

と、ここまで入力してしまうとカードにまつわる情報すべてが詐欺師に流れて
悪意を持つ第三者が、あなたのカードを使い放題となってしまいます。
こうなるとカードを止める他ありません。

 

詐欺サイト・メールは非常に巧妙に作り込まれている

 

ご覧頂いたように、偽メール案内はじめ、誘導先の偽サイトまで
破綻がないように非常に作り込まれておりました。
あまりパソコンを触らない方やインターネットをされない方ですと、騙されたことに気付かないまま被害にあってしまう事もあるかと思います。

えきねっと以外にも AMAZONやメルカリ、年金機構、各種カード会社、銀行を謳って今回のような偽サイトに誘導
するものも多数ございます。

最低限注意していただきたいポイントを以下にまとめました。

まとめ

・機密性が高い情報が絡む場合は、メールからアクセスせず Web検索から公式ページにアクセスする。
・強い口調は詐欺だと思え! (詐欺メールは本文で何かと強くかいてあるケースが多いように感じます)
 → 「アカウントがロックされています」「支払いできなくなります」「解約されます」「停止通知」など

・メール本文に個人を特定している情報がない(本当に登録しているサイトであれば名前等の情報が記載されていることが多い)
 →偽メールに多いのは (メールアドレス)様 や お客様各位 のような宛名になっていることが多いです。

・フィッシング対策機能がついているセキュリティ対策ソフトを使う。(ESETなど 当社でも取り扱っております)

 

詐欺師集団はあの手この手で仕掛けてきます。
日々新しい手法や、偽サイトができていますので 常に意識を持ち続けることが大切かと思います。

この記事を読んで
心当たりや、不安なこと、ご相談等あれば 気兼ねなく弊社までご相談ください。