11のフィッシング詐欺事例から学ぶ手口6種類

  • このエントリーをはてなブックマークに追加

日々巧妙になっていくフィッシング詐欺の手口を事例と併せて分かりやすく知りたいと思いませんか。
これを読んでいただければ、詐欺師たちが私たちのどのような欲、心の隙間を狙って、どのような手口のフィッシング詐欺を行っているのか、分かっていただけると思います。

フィッシング詐欺を仕掛ける詐欺師たちは偽サイト、アプリ、メール、SMSを使って、私たちにアプローチしてきます。アプローチ手段はあまり変わらないのですが、詐欺師たちが欲しい情報、そして詐欺師があの手この手と変えて、私たちをひっかけようとする手口を紹介します。

1.フィッシング詐欺師はあなたのどんな情報を狙っているのか

詐欺師たちが欲しがっている情報は一言で言うとお金になる情報です。想像しやすいのが、例えばクレジットカード番号、銀行口座番号と暗証番号。さらに、Apple ID、Googleアカウントに代表されるクレジットカードが登録されているアカウントのIDとパスワードです。
クレジットカード番号を盗まれたら、自分の知らないところで不正利用されます。
オンラインバンキングの情報を盗まれたら、知らないうちに銀行残高を詐欺師の銀行口座に振り込まれてしまいます。
Apple ID、Googleアカウントを盗まれたら、勝手アプリなどを買われるかもしれません。

直接的な金銭価値がないソーシャルメディアのアカウント情報でも、そのアカウントを利用してフィッシングサイト、通販詐欺サイトに私たちを集客することもできるので、ソーシャルメディアのIDとパスワードも詐欺師にとっては価値ある情報です。

下の画像は詐欺師が一般の方のFacebookアカウントを乗っ取って、書き込んだ通販詐欺サイトの告知です。
画像には乗っ取られたユーザーの友達38人をタグ付けし、書込みを見に来させて、通販詐欺サイトへ誘導しようとしています。
fb_sagi

2.私たちをダマすフィッシング詐欺の手口6種類11事例

詐欺師たちが私たちをダマそうと考える手口がバラエティに富んでいるので、6つに分類してみました。

2-1.ソーシャルメディアの機能を利用した手口

インターネットで人が集まるサイトの一つがFacebook、Twitterに代表されるソーシャルメディアです。
ソーシャルメディアでユーザーが頻繁に利用する“いいね”機能と投票機能を詐欺師が利用してフィッシングサイトを構築する事例があります。

2-1-1. 女の子の写真といいねを利用したフィッシング詐欺

“いいね”をより多く獲得する容易なネタはやはり女性、動物などの写真でしょう。その中でもかわいい女の子の写真に“いいね”をさせる手口がありました。

女の子の写真に“いいね”をさせるフィッシング詐欺
Phishers_fake_FB_image1
この“いいね”ボタンをクリックするとFacebookのログイン情報の入力が求められます。ログイン情報を入力するページは詐欺師が作った偽ページです。ログイン情報を入力するとIDとパスワードが詐欺師の手に渡ってしまうという仕組みです。

2-1-2. 自分のプロフィールを見た人が分かると称した偽アプリによるフィッシング詐欺

かわいい写真以外にユーザーが一番感心を持つのは自分自身でしょう。だから、自分のプロフィールページを誰が見ているのかを教えるという偽アプリがありました。

誰が自分のプロフィールを見ているのかが分かるという偽アプリ
figure1_0
このFacebookに似せた偽サイトにIDとパスワードを入力するとフィッシング詐欺師にアカウント情報を盗まれます。
そして、あなたのプロフィールが見られたら通知すると書いてある偽Facebookアプリはマルウェアです。
このマルウェアはユーザーが入力した情報を全て記録します。
このマルウェアを駆除せすにオンラインバンキングを使ってしまうと、詐欺師にオンラインバンキングへのアクセス情報が取られてしまいます。
挙句の果てには自分の銀行口座の預金が勝手に送金されてしまいます。

ソーシャルメディアの機能を利用した事例3つ

2-2.有名人を使った手口

セレブ、政治家、有名スポーツ選手の知名度を利用した手口です。
しかし詐欺師はだた有名人の名前、写真を使うというのではなく、有名人と何かを掛け合わせて私たちに興味を持たせるように工夫をしています。

2-2-1. 選挙シーズンに政治家を利用したフィッシング詐欺

いくつかある事例の中で、政治家と選挙シーズンを掛け合わせた事例があります。facebookの偽サイトを公開。そのサイトからfacebookにログインするように装い、facebookのアクセス情報を盗みます。アカウント情報を盗まれたユーザーになりすますことを目的にしています。

元ニューデリー州首相でありアーム・アードミ党の党首であるアルビンド・ケジリワル(Arvind Kejariwal)を使ったフィッシングサイト
figure1_facebookspam
”いいね”ボタンをクリックするとfacebookにログインするように求められ、ログイン情報を求められます。
その画面が下の画像です
figure2_facebookspam
ページ内に2-1-1で紹介した”女の子の写真にいいねするためにfacebookにログインしてください”と英語で書いてあります。
詐欺師が同じフィッシング詐欺の仕組みを使いまわして、私たちをひっかけるための手口を変えていることが分かります。

2-2-2. ファンをたくさん持つサッカーチームを利用したフィッシング詐欺

たくさんのファンを抱えるレアル・マドリードのファンを狙ったフィッシングサイトがありました。たくさんのファンを抱えるサッカーチーム、有名選手を利用することで、たくさんの個人情報を獲得するチャンスが増すことを詐欺師は知っています。

このサイトもfacebookアカウントでログインをすると、アカウント情報が盗まれます。盗まれた情報はなりすまし犯罪に利用されます。

レアル・マドリードとクリスティアーノ・ロナウド選手を使った偽facebookページ
Real-Madrid-fake-login

有名人を利用した事例3つ

2-3.儲け話をもちかける手口

もっとも単純にユーザーの興味を引くネタは、無料で金銭を差し上げるというものでしょう。
きっと詐欺師たちはこの手法で昔から多くの人たちをダマそうとしてきたと想像できます。
そして騙されてしまうユーザーが後を絶たないので、詐欺師はこの手口を使い続けるのでしょう。

2-3-1. 宝くじの当選金をプレゼントするという詐欺事例

Instagram上で宝くじに当選したと称して、得たお金をフォロワーたちにプレゼントするという手口がありました。

詐欺師のアカウントをフォローし、コメントとメールアドレスを残したユーザーには1,000ドル進呈するというものです。この手で詐欺師のアカウントはフォロワーがどんどん増えます。下の画像で分かるように4つのアカウントでそれぞれ5000~11万人のフォロワーを獲得しています。

宝くじの当選金をプレゼントするという詐欺アカウント
figure1_20
フォロワーが増えると、次のステップとして会計士を名乗るユーザーが登場します。その会計士と名乗るユーザーは郵便料金をまかなうために99セントを寄付することを要求します。

会計士と名乗るユーザーが99セントの寄付を要求
figure2_19
これを信じたユーザーは99セントを支払い、メールアドレスも公開しています。詐欺師が獲得したメールアドレスはどのように使うのか分からないですが、詐欺師自身が利用するか、転売します。

現金をプレゼントするという手口の次は、携帯電話の無料通話がもらえると謳った手口を紹介します。

2-3-2. 携帯電話の無料通話をプレゼントするという手口

インドのFacebookユーザーを狙ったフィッシング詐欺です。
まず、下の画面にFacebookアカウントを入力することで携帯電話の無料通話を差し上げると書いています。
そして、Facebookアカウント情報の入力を要求します。

Facebookアカウントを入力すると無料通話をプレゼントすると謳っている偽ページ
image1_4

次に下の画面が表示され、500ルピーの無料通話がプレゼントされたことが表示され、さらにFacebookで“いいね”、購読、共有、さらには友達のタイムラインにこの偽キャンペーンを告知するメッセージを書き込むことを要求してきます。

無料通話を獲得したことを言い、拡散を要求した偽ページ
image2_2

プロセスの最後では、名前、メールアドレス、携帯電話番号、回線事業者などの個人情報の入力を要求されます。
これらの情報はなりすまし犯罪に使われてしまいます。
ユーザーの個人情報を騙し取るだけでなく、ダマしたユーザーに情報を友達に知らせるように要求した事例です。

儲け話をもちかける事例3つ

2-4.音楽、スポーツイベントを利用した手口

ファンが夢中になる音楽とスポーツイベントは私たちの警戒心が緩みやすいと詐欺師は考えるみたいです。
ファンも自分の好きなスポーツ・音楽イベントが目の前にあれば、イベントで楽しむことを考え、多少なりとも警戒心を持つ意識が低下するのでしょうか。そんなイベントに便乗したフィッシング詐欺の事例を紹介します。

2-4-1.FIFAワールドカップに便乗にした偽キャンペーン

2014年 FIFA ワールドカップで、ブラジルのクレジットカード、デビットカード会社のCIELO Brazilの偽広告を利用した例です。まず、下のFIFAワールドカップの偽広告を使ったフィッシングメールを送ります。

デビットカード会社のキャンペーンと称したフィッシングメール
WorldCup2014
メール本文は、下のようにプレゼントキャンペーンへの応募を促す内容が書いてあります。

おめでとうございます。2014年シエロカップの参加資格に当選しました
2014 ワールドカップを宣伝するために、20,000 レアル相当の抽選に登録してください
チケットと、2014 ワールドカップ開催期間中の豪華宿泊券のほか、さらに走行距離 0 km のフィアットドブロが当たるかも
さあ、今すぐお買い上げを! 今すぐ登録すれば、追加のご負担なくこの広告の特典をご利用いただけます
このメガ特典に参加して、特別プレゼントを手に入れよう

メール内のリンクをクリックすると下のフィッシングサイトにアクセスします。

このページでは、ユーザー名、生年月日、ブラジルの納税者番号の入力を求められます。

情報入力を要求するフィッシングサイト
WorldCup2014-2

次の画面では、クレジットカード情報の入力が要求されます。

クレジットカード情報の入力を要求するフィッシングサイト
WorldCup2014-3

詐欺師は入力されたクレジットカード情報を不正に利用しようとしているのでしょう。
世界的なイベントは、興味、関心を持つ人が多いので、詐欺師にしてみれば大きなチャンスです。

スポーツ、音楽イベントを利用したフィッシング詐欺事例

2-5.有名サービスを装うフィッシング詐欺手口

“1. ソーシャルメディアの機能を利用した手口”と似た手口ですが、利用者が多いインターネットサービスをエサにした手口を紹介します。詐欺師は利用者数が多くて役に立つサービスを狙うのだと思います。

普段使っているサービスの利便性がさらに向上する、または新しいバージョンをいち早く使うなどのエサを詐欺師は用意して私たちを狙います。
例えばWebメールアカウントの乗っ取りを狙い、メールボックスの容量が制限を超えたと通知し、ユーザーを偽サイトに誘導します。
偽サイトでメール、ユーザー名、パスワードの入力を要求して、ログイン情報を盗みます。
その他2つの事例を紹介します。

2-5-1.Google Driveへのログイン画面を巧妙に再現したフィッシングサイト

最初に紹介するのは、Google Driveのログイン画面を装ったフィッシングサイトです。

フィッシングメールから下のサイトに集客をします。

偽のGoogle アカウント ログイン画面
phish_site_image
Googleのログイン画面にそっくりなこの画面は、さらにGoogleのサーバー上にあります。SSLも使っているので、偽ページだと見分けることが難しいです。

このページでGoogle アカウント情報を入力すると、詐欺師に手に渡り、厄介なことになります。Googleアカウント1つでGmail、Google Play、Google Walletなどにアクセスできるのと、Androidアプリの購入ができるので詐欺師にとってGoogleアカウントは価値の高い情報なのです。

 

2-5-2. Facebookのセキュリティ強化する新機能を装ったフィッシングサイト

Facebookのファンページ、ユーザープロフィールのセキュリティを強化するという偽アプリです。

下の画像がサイトの画面です。

Facebookファンページのセキュリティを強化するという偽アプリ
facebook
このページは以下のことが書いてあります。

タイトル: ソーシャル上でのセキュリティ強化

解説文: あなたのソーシャル上でのセキュリティを強化するため新しい機能を提供します。このページの検証プロセスはその一環です。このプロセスは2013年5月30日まで利用可能で、期日までに検証されないファンページは完全に閉鎖されます。

タイトルと解説文の下の入力フォームには以下の5つの情報入力が要求されています。

・ファンページ名
・メールアドレス
・パスワード
・セキュリティコード
・セキュリティコードの確認

情報入力が完了すると以下の画面が表示され、プロセスが終わります。

画面には、「ありがとうございます。ファンページは検証中です。処理が終わったら、48 時間以内にご連絡いたします」と表示されます。
facebook02
このサイトを信じて入力してしまったユーザーにはソーシャルセキュリティは提供されず、ただFacebookへのアクセス情報をフィッシング詐欺師に送ってしまったことになります。

他にも新しいバージョンのFacebookのデモバージョンへのアクセス、便利な機能を提供すると謳った偽アプリなどの手口が確認されています。

利用者の多いサービスにさらに利便性を付け足す、新たな機能を装ったケースが見受けられます。

有名サービスを装うフィッシング詐欺事例4つ

2-6.企業・機関を装う手口

政府機関、教育サービス、金融機関は信頼性が高いというイメージを利用した手口です。そんな私たちのイメージを利用したフィッシング詐欺事例を紹介します。
また、フィッシング詐欺で昔からあるのは銀行などの金融機関を装ったフィッシング詐欺です。
日本でも金融機関を装ったフィッシング詐欺が多数報告されています。
銀行ではないですが、変わった世界の事例を2つ紹介します。

2-6-1. 警察になりすましたフィッシング詐欺

トルコ警察を装ったフィッシング詐欺を紹介します。

トルコ警察を装ったフィッシング詐欺サイト
Phishers_Turkish_police
このフィッシングサイトには下のことが書かれています。

トルコ警察は最近Facebookアカウントが盗まれたため、情報漏洩対策としてWebサイトを作りました。トルコの刑法に従いユーザーは正しい情報を入力する必要があり、アカウントのログイン情報を入力すればユーザーアカウントの保護申請が警察に送信される

このページには、トルコ警察本庁の名前、住所も記載され、それっぽくなっています。
情報を入力するとFacebookのログイン情報が詐欺師の手に渡り、なりすましなどに使われてしまいます。

 

2-6-2. 大学受験生を狙ったフィッシング詐欺

大学入試シーズンを利用したフィッシングサイトが中国で確認されました。

フィッシング詐欺師は大学の入学試験で得点が足りなかった受験生の対象に、入学の近道があると称したWebサイトを作りました。出願に必要な個人情報を入力すると、全て個人情報が盗まれ、詐欺師の使いたいように使われてしまいます。

大学入学の近道と称したWebサイトの入力フォーム
chinaunivercity
子供を持つ親としては、入試という子供にとっての一大イベントのときは藁をもすがる思いになると思います。その心の隙間を突いた手口です。

企業・機関を装ったフィッシング詐欺事例3つ

最後に

詐欺師は私たちのさまざまな心理を突いた手口を考えてフィッシングサイト、詐欺の手口を作ってきます。本記事で海外の事例を紹介していますが、日本も同様にフィッシング詐欺サイトはたくさんあります。この世にはうまい話はめったにありませんので、皆さんが騙されないことを心底願っています。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

  • このエントリーをはてなブックマークに追加
パソコンの動きが遅いと感じたら、
無料でウイルススキャンしてみませんか?
ノートンセキュリティ

あなたは現在、パソコンの動きが遅い、ソフトがすぐに落ちる、重要なデータが開けない、 などのおかしな症状に悩まされていませんか? 
近年、ネット犯罪が増加し、様々なトラブルが発生しています。「自分は大丈夫だろう」と対策を怠った結果、 知らないうちに、悪質なウイルスに感染してしまうことも少なくありません。

あなたのパソコンが安全かどうかを調べるもっとも確実な方法は、セキュリティソフトを使った『ウイルススキャン』です。この方法は、以下のようなメリットがあります。

  • ボタンひとつで、パソコン全体を簡単にスキャン
  • ファイルを隅々まで調べ、ウイルスを高確率で検出
  • 危険なウイルスを発見次第、そのまま駆除

現在、ノートンセキュリティでは、30日間無料で最新版がご利用いただけます。今すぐインストールして、ウイルススキャンをしてみてください。