宅配業者からの不審なテキストメッセージに違和感--筆者が体験した詐欺の手口と防止策(ZDNET Japan)

宅配業者からの不審なテキストメッセージに違和感--筆者が体験した詐欺の手口と防止策(ZDNET Japan)

 筆者はUnited Parcel Service(UPS)からの荷物を楽しみにしていたため、先日届いたテキストメッセージに自然と目がとまった。そのメッセージはUPSを名乗り、6月27日に配達を試みたが完了できなかったと記されていた。ちょうどその日は妻と外出していたため、内容に信頼性があるように感じられた。  筆者はこれまで数多くのサイバーセキュリティに関する記事を執筆しており、常にサイバー犯罪の最新動向に目を光らせている。特にこの時期は、UPSを装った詐欺メッセージが出回っていることを把握していたため、メッセージを読む前から「何かがおかしい」と直感した。実際に内容を確認し、細部までチェックした結果、これは明らかに詐欺だと判断した。  詐欺師たちは、時期に応じて特定のタイプの詐欺を仕掛ける傾向がある。例えば、確定申告のシーズンには米国内国歳入庁(IRS)を装った詐欺が多発し、ホリデーシーズンにはギフトカード詐欺が急増する。そして夏になると、人々が休暇で家を空けがちであることを見越して、「配達に失敗した」と偽る詐欺が横行するのだ。  SlashNext Email Securityのフィールド最高技術責任者(CTO)であるJ Stephen Kowski氏は米ZDNETの取材に対し、Amazon Prime DayやWalmartのセールといった大規模なショッピングイベントの影響で、荷物の発送が急増していることから、現在も配達詐欺が広まっていると述べた。  同氏は「詐欺師たちは、こうしたセール期間中に人々が普段以上に多くの荷物を受け取ることを期待していると理解している。そのため、偽の配達通知は、実際に複数の注文を待っている人々を騙しやすい」と説明した。さらに、「このような典型的なフィッシング詐欺は長年にわたって行われており、UPSやUSPS(米国郵便公社)、FedExといった米国の配送業者だけでなく、英国のRoyal Mailや南アフリカの郵便局など、国際的なサービスも標的にされている。こうした詐欺は波のように周期的に現れ、特に夏のセールシーズンは荷物関連の詐欺が活発化する絶好のタイミングだ」と語った。 UPS詐欺の手口  今回のUPS詐欺は、幾つかの点で非常に巧妙だった。筆者の「iPhone」に届いたメッセージは「不明な送信者」として表示されていた。iPhoneの初期設定では、不明な送信者からのメッセージに含まれるリンクは無効化されており、直接クリックして開くことはできない。しかし、詐欺師はこの制限を回避するために、巧妙な手口を使っていたのだ。  メッセージには、「Y」と返信するよう促す指示が含まれていた。これに応じると、詐欺師の送信元が「既知の送信者」として認識されるようになり、再度メッセージを開いた際にはリンクが有効化され、クリック可能になる。もしこの方法でリンクが開けない場合でも、詐欺師は別の手段を用意している。例えば、リンクをコピーして「Safari」などのブラウザーに貼り付けることで、ユーザーを直接悪意のあるウェブサイトへ誘導するのだ。  そのウェブサイトでは、荷物を受け取るために連絡先情報の確認が求められる。入力を促されるのは、氏名、住所、電話番号に加え、場合によってはクレジットカード情報や社会保障番号などの機密情報も含まれる。もしユーザーがこれに応じてしまえば、詐欺師はそれらの個人情報を全て手に入れ、金銭の搾取や個人情報の盗用など、さまざまな犯罪に悪用することが可能になる。  Kowski氏は、「詐欺師たちはUPSの公式サイトを模倣した偽のウェブページを使い、氏名、住所、社会保障番号、クレジットカード情報などの個人情報を収集しようとしている」と警告する。さらに、「彼らは通常、1ドル未満の少額な『配送料』を請求することで支払い情報を取得し、そのカード情報を使って高額な不正購入を行う」と説明した。また、「一部の悪意あるリンクは、デバイスの動作を監視したり、バンキングアプリのログイン情報を盗んだり、さらにはカメラやマイクにアクセスして継続的に監視するマルウェアをインストールしたりする可能性もある」とも付け加えた。 詐欺だと見抜く方法  まず注目すべきは、送信者のメールアドレスだ。詐欺師はUPSの正式な名称やドメインを使わず、無関係なランダムなユーザー名とドメインを用いていた。メールアドレスは比較的簡単に確認できるため、常に詳細をチェックし、それが正規のものか、あるいはその企業と関連があるかを見極めることが重要である。  次に挙げられるのは、メッセージが強い緊急性を訴えていた点だ。これは詐欺に多く見られる特徴である。このケースでは、「荷物は3日以内に返送される」と記されていたが、UPSが再配達を試みることなく、わずか3日で返送するのは不自然である。  さらに、正規のUPSからの通知には通常、追跡番号や荷物の詳細など、具体的な情報が含まれている。しかし今回のメッセージにはそうした情報が一切なく、内容はあいまいで一般的だった。これも詐欺の典型的な兆候の一つだ。  「詐欺師は、荷物がすぐに返送されると警告することで、受け取りを逃すことへの不安を煽り、緊急性を演出する」とKowski氏は指摘する。さらに、「彼らは意図的に追跡番号や個人情報を省略し、誰にでも当てはまるようなあいまいなメッセージを送ることで、より多くの人を引っかけようとする。そしてもっとも巧妙なのは、スマートフォンのセキュリティ機能で無効化されているリンクを有効にさせるために、ユーザーに『Y』と返信させる手口だ。これは、ユーザー自身にセキュリティの壁を乗り越えさせるよう仕向ける、非常に巧妙な戦略である」と述べている。

ZDNET Japan
*******
****************************************************************************
*******
****************************************************************************
  • シェア:

関連記事: