はてなキーワード: フィッシング詐欺とは
ひさしぶりにヘッドハンターからのメールが着信。本日はうんたらかんたらのグローバル案件をご紹介します。かくかくしかじかの会社がうんたらかんたらの戦略展開のため、いま事業部の新規立ち上げメンバーを募集中です。年収のレンジも高めに設定されております。つきましては以下までご連絡いただきたく。
まあたしかに誰でも知っている企業名で、同じ業界なので、この会社の人とも関わったことがあるが、そんなに優秀そうな感じではなかった。だが今回は大規模な戦略転換ということなので、何かがあるかもしれない。話だけ聞いてみるか。
と思ってメールの末尾に記載があるリンクをクリックすると、Microsoft 365のエラーで面談の予約はできなかった。アクセス先のドメインも確かにマイクロソフトで、某ヘッドハンターのサブスクリプションであることを示唆する文字列が入っているが、フィッシング詐欺のリンクを踏んだかと思った。
わたしもつい三井住友の最近フィッシング詐欺に引っ掛かりかけた…
わたしの場合は、「不正利用の疑いがある取引があったので、カードを一時的に停止してる。VPASSにログインして今後の手続きを進めてほしい」みたいなメールがきた。
「ニコニコの個人情報流出でわたしのカードの情報も流れて誰かが不正利用しようとしたんだ…三井住友のセキュリティちゃんとしててよかった~!」と角川事件で不安になっていたわたしは一瞬で信じ込んで、vpassでログインするところまではした。
で、次の画面で本人確認のためにカード番号・有効期限・セキュリティコード・名義を入力しろという画面に変わったんだけど、
番号を入力するinputの挙動が明らかにおかしかった。1文字入力するごとに、英数とかなが切り替わる・・・という、逆にどう実装したらそうなる?という挙動。いままでSMBC関係のサイトでこんな謎の実装みたことない…と思って、ようやく冷静になって、ドメイン見たらわけわからんドメインだったし、メール自体のドメインはホットメールだった。
ためしに最初のログイン画面に戻って、idやパスワードにかな文字を入れてログインボタンを押してみても、ログイン成功したときの導線にのってた。
Xに書くの恥ずかしいからここに書くことにしたが
「本人確認が必要な取引があった」とかでメッセージ内のリンク先からVpassアカウントでログインした上でカード情報を入力させられたんだが
送信ボタンを押した瞬間に不安になって改めてページを確認してみたら
ログイン画面は本物そっくりだったんだけどログイン画面以外のボタンが押せなかったり
押せてもページ上部に戻るだけだったりして完全に詐欺だと確信して青ざめた
すぐに三井住友カードに連絡しカードを停止してもらった上、Oliveフレキシブルペイとかいうやつだったのでアプリ上でOliveフレキシブルペイの利用制限というのをしてカード再発行の手続きをした
気づいて30分ほどでここまでやったので多分被害はないのではないかと思うが
入力した内容としてはVpassアカウントのIDとパスワード、クレジットカード番号、有効期限、セキュリティーコード、生年月日、ローマ字表記でフルネーム、携帯番号、キャッシュカードの暗証番号(キャッシュカード一体型だったため)だった
今考えるとなんでキャッシュカードの暗証番号?って感じだが、なんとなくキャッシュカードの暗証番号を入れてしまったが、よく考えたらこの流れならカードの暗証番号だったがここでも早とちりしてしまったようだ
このショートメッセージを信じてしまった理由としては、今日ちょうど、三井住友カード関連のアプリを入れ替えたり設定をいじったりしてたのでそれでこんな確認メッセージが来たと思ってしまったからなんだけど、もっとよく確認すべきだった
風邪で辛いというよりも、こんな時に誰も頼れない孤独さが辛い。
「ちょっと、風邪薬を買ってきて」と気軽に頼める人が誰もいない。
あぁ俺はこんなに孤独だったのか。でも自業自得だ。俺がそういう人生を選んできたのだ。
仕方がない、着替えてドラッグストアに行こう。ドラッグストアにドラッグを買いに行くのだ。
あぁでも面倒くせぇな。最寄りでドラッグが買えるのはそこそこの距離があるイオンじゃねぇか
ウーバーイーツって薬を買ってきて!って頼めるんだっけ。なんらかの法に触れそうだ。
いや、そもそもイオンには宅配してくれるサービスがあったのではなかったか。薬も行けるのか?
あ、できるじゃん、すごいじゃんイオン。見直した。さすが地域の商店街を破滅させるだけのことはある。
でもボーっとしたあたまでクレジットカード番号を入力したから、フィッシング詐欺にあっているのかもしれない。
過去に登録した各種サービスから時折メールがくる。一方で、スパムメールとかに対する過去の経験や、教育が行き渡った結果、メール本文に記載されているリンクは絶対に踏まないようにしている。
結果として、「運営からの重要なお知らせ」みたいな連絡が来ても無視せざるを得ない。少し前に、口座を開設している銀行名義で「フィッシング詐欺が横行しており、不審なアクセスがあったため、こちらのリンクから個人認証をしてください」的な典型的な詐欺文言のメールが届いたので判断保留したことがある。その時は銀行の公式の窓口から電話で確認したら、そのメールは詐欺ではなく本物だと分かった。
定期的に迷惑メールが来るので、フィッシング詐欺に引っかからない自信はある。
まあ、ほとんどの人はそう思いながら詐欺に引っかかっている人が一定数いるのが現実だけど。
そんなバハマ……バカなと思うかもしれない(私も思っている)が、ネット上では個人情報だとかクレカ情報を入力してしまった、という体験談はちらほら見かける。
こういう書き出しだとこれから私が詐欺にあった内容を書きそうになるけど、実際はその逆で適当な情報を入力して遊んでみようとの試みである。
迷惑メールの内容を端的に説明するとAmazonを騙って「あなたではない他人が注文したので見覚えが無ければキャンセルしてください。」という感じ。
迷惑メールを見分ける方法はググれば山のようにあるので省略するが、簡単に見分けられる程度の内容だった。
不用意に迷惑メールの「注文をキャンセル」とここをクリックしてくださいと言わんばかりの部分を馬鹿正直にクリックすると本物そっくりのログインページが表示された。
面白いことにパスワードの入力部分が全角文字の入力に対応しており、とりあえず「天安門事件」と入力しておいた。
こういう詐欺は中国系が多い(偏見)ので、居酒屋でとりあえずビールを注文する感覚で天安門事件と入力するのである。(台湾や香港問題も有効と聞くがその辺りは有識者に問いたい)
当然ながら、本物のAmazonのサイトであればメアドやパスワードは全角を対応している訳がないし、適当な情報を入力したらログインできずに再入力を促されるが、偽サイトなので無事に(?)ログインできた。
「セキュリティ上の観点から本人確認のために個人情報を入力してください」と、それっぽい理由で名前や住所などの個人情報を入力させてくるが、明らかな偽サイトで入力する意味がないのは明白なので偽情報を入力する。
こういう時に環境依存文字だとか特殊なことをして相手の個人情報のデータベースを滅茶苦茶にできれば良いのだが、私にはそんな知識も技術力もないので物量作戦として大量の文字列を入力する暴挙に出た。
郵便番号のように字数が決まっているものについては入力制限があったが、住所については上限が無かったのでコピペしまくって無意味な文字を入力した。
おそらく数メガバイト分の文字を入力できたと思うが、ブラウザの方が若干だが重くなり、文字が表示されるのに時間がかかるようになってきたので、次のページへ移動した。
おそらくこれが本丸だと思うが適当な情報を入力して遊ぶので、当然のように存在しない情報を適当に打ち、一通り入力が完了して送信したら403エラー、つまりアク禁で見れなくなったのでゲームオーバー。
偽情報が原因なのか、元からエラーが出る仕様なのか分からないが、どちらにしても不用意に偽サイトにアクセスしない方が良いと思いました。(子供みたいな感想文)