日々進化するフィッシング詐欺。民間団体・フィッシング対策協議会によれば、昨年2020年の報告件数は22万件越えと過去最高を記録したようだが、今年はさらに勢いがあるらしい。
その影響なのか何なのか、先日私のメールボックスに「VISAカード」を騙(かた)るメールが届いた。実はこのフィッシングメール、現在猛威を振るっているそうだ。
なので今回は、その潜入レポートと被害を防ぐための知識をお伝えしたいと思う。結論から言うと、世界No.1シェアを誇る国際カードブランドを装ったフィッシングメールは、拍子抜けするくらいシンプルだった!
・詐欺メールは一発でわかる
いきなりだが、まず最初に詐欺を完全に見破るための知識をお伝えしたい。VISAカードを騙るフィッシングメールには、1つの大きな特徴があるのだ。それは……
そもそも、本物が存在しない!
──ということだ。どういうことか説明しよう。
例えば、アメリカンエキスプレスなら「アメリカンエキスプレスカード」、JCBなら「JCBカード」など、国際ブランドが直接発行している「プロパーカード」と呼ばれるものがある。そのプロパーカードの会員であれば、契約しているカード会社から直接メールが来るのが普通だ。
しかしVISA、実はプロパーカードを発行していない。楽天カードや三井住友カードなどにVISAの決済機能が入っているものは、いわゆる「提携カード」と呼ばれるもので、プロパーカードではないのだ。
CMなどでも「VISAカード」という表現を使っているので誤解されることが多いらしいが、これが真実だ。
ということは、VISAの提携カード会社からメールが来ることはあっても、「VISAカード」や「VISA JAPAN」など、それっぽく名乗る会社から個人情報や機密情報に関する確認メールが直接来ることは無い。
なので、これらのメールが来たら疑う余地も無く、一発でフィッシングメールだと見破れる。ただし、三井住友カードのような提携カードは多数あるから、混同しないように注意が必要だ。
・超シンプルなフィッシングサイト
次に、このフィッシング詐欺の全貌が、どうなのかを説明しよう。
まず前提として、メールに本物が存在しないことでお分かりかと思うが、VISAのログインサイトも存在しない。すなわち、本物が無いのだ。
それを頭に入れた上で、潜入を試みるべく、メールからリンクをクリックしたら……
お決まりの警告画面。進化している昨今のフィッシング詐欺に比べると、これが表示されるだけでかなり手抜き感があるように思えてくる。それでも構わず進んでいくと……
それらしいサイトが出てくる。私が使っているGoogleChromeでは、フィッシングサイトのURLの横に「危険」の文字が。
そして今回も、アメリカンエキスプレスのフィッシング詐欺と同じく、全て数字の「1」のみ記入して、潜入を試みる。
続けて、「あなたの情報を確認し、続ける」と書かれている謎のボタンをクリック。
うん、やっぱり入れた。
次に、なぜかログインしているはずなのに、IDとパスワード、メールアドレスの記入が求められるので、全て「1」と記入。
また、謎のボタンをクリックすると……
本物のVISAのサイトに飛ばされる。
この時点で個人情報の抜き取りが完了しているわけだが、今まで数々のフィンシングサイトを検証した中でも、拍子抜けするくらいシンプルだった。ただし、それだけに あっという間に個人情報が抜かれてたということもあるので注意が必要だ。
・被害に遭わないために
というわけで、VISAカードを語るフィッシング詐欺の防止策としては前述の通り……
そもそも「VISA」から個人情報や機密情報に関する確認メールが来ることはあり得ない。
──と覚えた上で、怪しいメールのリンクを踏まないよう徹底すればいい。ちなみに、VISA公式サイトも注意喚起を促しているので、VISAの提携カードユーザーは、こちらも一読しておいた方がいいだろう。
──以上。この記事が被害防止の一助になれば幸いである。
参考リンク:VISA「Visaを騙るメールや電話にご注意ください」、フィッシング対策協議会
執筆:耕平
Photo:RocketNews24.
▼単体でVISAを名乗るメールは怪しいと思ってもいい
▼GoogleChromeだと警告画面が表示される
▼VISA単体のログインページも現実には存在しない
▼内閣サイバーからも注意喚起が促されている
【注意喚起】(1/2)
「【重要なお知らせ】VISAカードの利用確認」という件名でVISAカードをかたるフィッシングの報告を受けているとして、フィッシング対策協議会が注意喚起をしています。
本文中のリンクはフィッシングサイトへの誘導です。注意して下さい。(続く)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) July 6, 2021