SMSメッセージからフィッシングサイトへ誘導
【この記事はIT系ライター M氏 が書きました】
セキュリティソフト等で知られるマカフィーは、同社のモバイルリサーチチームがSMSメッセージによるフィッシング攻撃(スミッシング)を発見したと注意を呼びかけています。これはモバイルバンキングを利用するユーザーの口座へ不正侵入するための悪質な手口です。
フィッシング詐欺SMSの見本
メッセージを見たユーザーがURLをクリックすると、偽の顧客識別プログラムを装うページが表示されます。ここで口座が閉鎖されると脅迫し、ユーザー名やID、パスワードを始め、住所や電話番号、生年月日などの基本的な情報を入力させます。※URLには金融機関名が含まれており、画面も正規のサイトに似せて作られていた様です。
さらに、二要素認証を突破するためのID等を入力する画面へ続き、金融機関からユーザーのスマホに送信される(正規の)アクセスコードを入力させることにより、不正アクセスが可能な情報を全て収集する様です。
その上、情報を全て入力した後は金融機関の正規のページへ移動されるため、ユーザーは偽のサイトとは気づかないまま、手続きが完了したと思い込んでしまいます。
なぜSMSなのか
この「スミッシング」と呼ばれる手口は一見、多くのフィッシング詐欺と同様に見えますが、なぜSMSを使うのでしょう。考えられる理由としては、メールアプリには迷惑メールフィルタ等の機能がありますが、SMSでは拒否設定等を行わない限り、全てのメッセージが直接表示されます。
また、一般的にSMSの場合、メールに比べ内容を良く確認せずにURLをクリックしてしまう傾向が有るため、正規の金融機関とよく似たサイトを見ることにより、すぐに不信感がなくなってしまうのではないでしょうか。
被害を未然に防ぐには
今回は米国での事案ですが、サイバー犯罪の手口はすぐに世界中で模倣されます。マカフィー社の公式ブログにも書かれているとおり、サイバー犯罪で最もつけ込まれやすいのは、ユーザー側のセキュリティ意識です。被害を防ぐためには、不明な電話番号からのSMSメッセージは疑いを持ち、安易にURLをクリックしないよう注意しましょう。
関連リンク
■マカフィー株式会社公式ブログ
・米国のモバイルバンキングユーザーを狙うスミッシング攻撃を発見
http://blogs.mcafee.jp/mcafeeblog/2017/08/post-1e9d.html
■フィッシング対策協議会
・【注意喚起】SMS(ショートメッセージサービス)で誘導される銀行のフィッシングサイトにご注意ください (2015/06/16)
https://www.antiphishing.jp/news/alert/_sms_20150616.html