詐欺メールの仕組みと対策方法
詐欺メールが一向に減らない
2020年のドコモ口座からキャッシュレス決済アプリに不正チャージされた事件も詐欺メールが原因のひとつ
詐欺メールなどからリンクされたフィッシングサイトで不正に口座番号、暗証番号を入手された
仕組みと対策方法を紹介する
■詐欺メールの仕組み
・詐欺用のシステムセットが売買されているらしい
メール本文の作成
フィッシングサイトの作成
フィッシングサイトのHTTPアドレスの取得方法
自動メール送信
入手情報の回収
など
1)メール本文の作成
テンプレートがあり、少々の文章、文言の入れ替えで構築できるらしい
・メール本文のリンク先にフィッシングサイトのページを埋め込む
メール本文作成のツールでフィッシングサイトのURLを貼り付けする
2)フィッシングサイトの作成
実際の企業のサイトとそっくりなサイトを作る必要がある
個人情報を入力させるページ以外は実際の企業のページに遷移すればよいので、比較的に短時間で作成ができる
最近は外注しているのかも
HTMLを複製することは著作権法には違反しないらしい
企業サイトのHTMLと画像をダウンロードして、そっくりなHTMLを作ること自体は合法である
※インターネット上にアップロードして公開したら訴えられる可能性あり
3)フィッシングサイトのHTTPアドレスの取得方法
HTTPアドレスも実際の企業名を含めた名前にする
HTTPS://xxxx/~ の「xxxx」ドメイン名(DNS名)はDNS取得サイトで取得する
4)自動メール送信
・メール宛先はあらかじめ入手していた実在メールアドレスであることが多い
懸賞サイトやアンケートなどで入力されたメールアドレス情報は、メールアドレス買い取り業者に転売される
セグメント(性別、年齢、住所、趣味嗜好)などにより分類される
・発信元はメールアドレス業者からターゲットのメーリングリストを買い取る
セグメントにより値段も異なるらしい
・メール差出人の偽装
メールサーバでメール差出人を自由に登録できる
詐欺サイトの企業名と間違うような差出人にする
「詐欺メールの差出人」
apikey@securerakutenmail.buzz
apikey@securerakutencardmail.xyz
「楽天カード会社のメールアドレス」
info@mail.rakuten-card.co.jp
・メール送信
自動発信ツールを使う
メーリングリストを参照して、宛先に自動で送信する
・通常は発信元を偽装したメールサーバーから送信される
大手プロバイダでは特定アドレスからの大量メール発信は規制されている
複数のメールサーバーを使って行われる
1日のメール送信の上限数を元に自動送信することもある
5)入手情報の回収
フィッシングサイトで入力された個人情報は、サイト内のデータベース情報に自動で書き込まれる
該当ファイルをダウンロードすれば、個人情報一覧の完成
「入手可能な情報」
・サイト画面からの入力情報
氏名、住所、年齢、電話番号
既にメーリングリストで入手済だが照合用に使える
・銀行口座にアクセスするための情報
金融機関コード、店番号、科目コード、口座番号
通常金融機関との決済を行うときのキー情報
暗証番号
銀行からは絶対に聞くことはない
銀行内の事務でも窓口行員は申込用紙やネット入力した暗証番号は隠匿されて見れないようになっている
インターネットバンキングID、パスワード
インターネットバンキングでの不正用
インターネットバンキングしている人のIDとパスワードでログインし、他口座へ振り込みが可能になる
パスワードも銀行からは絶対に聞くことはない
・ クレジットカードを不正利用するための情報
クレジットカード番号、名義人、カード期限、セキュリティコード
「補足」
・クレジットカードは不正しやすい
セキュリティコードが簡単に出回るため
ネット決済するときに入力するので、詐欺サイトで収集しやすい
元々はカード保有者しかわからない情報だったが、
今では別の人がネット決済可能になってしまう
クレジットカードが時代に即さないものになった
・ASUSのサポートセンターが怪しい
修理の支払いをクレジットカードで行おうとすると、
オペレータがセキュリティコードまで聞いてくる
善人ならよいが、悪人なら闇業者に情報漏洩する可能性もある
・入力した端末の属性情報
IPアドレス、ブラウザ種類
サイトアクセス時のRefer情報から特定可能
脅しでメール本文に記載することがあるが、全く無視してよい
■詐欺メールの判断方法
・差出人のメールアドレス
普段該当の企業からくるメールの差出人と異なる
無作為な文字列が含まれる
差出人のメールアドレス名でGoogle検索してみる
詐欺サイト情報の検索結果が出れば詐欺メール
・リンク先
リンク先にマウスカーソルを当ててみる
記載されているリンクアドレスと異なるなら詐欺サイト
DNSサイト名(https://~/の間の文言)が日本国内なら「.jp」、企業なら「.com」になる
国別コードトップレベルドメイン - Wikipediaで定められている
「,cn」は中国のサイト
「.kr」は韓国のサイト
これらのサイトは間違いなく詐欺サイト
間違いやすいのが
「.tv」はツバル、決してTV関連のサイトではない
※余談だがツバルはこのドメイン名の商的利用を国策としている
「.az」アゼルバイジャン、アマゾンとは何の関係もない
「.ms」イギリスの海外領土・モントセラト、マイクロソフトとは何の関係もない
・メール本文
不安をあおる文章がある
端末IPアドレスなど表示している
通常の企業からの不正通知は電話で行うことが多い
メールでもIPアドレスの表示はしない
■各企業からの対応方法の案内
・JCB
・楽天市場
https://ichiba.faq.rakuten.net/detail/000008055
■詐欺メールの事例
・詐欺メール その18 口座からのお支払い
・詐欺メール その19 DENT
・詐欺メール その20 Dentacoin
・詐欺メール その26 二回目特別定額給付金
・詐欺メール その27 ETCサービス