次から次へと新しい手口で、我々の個人情報を抜き出そうとする「フィッシング詐欺」。その種類は一説によると優に100を超えているとか。そして最近、私(耕平)の迷惑メール専用のフォルダを賑わしている新たな偽メールがある。それは「セゾンカード」を騙(かた)るフィッシング詐欺だ。
今回も本物と見分けがつかないクオリティで、かなり危険なのでセゾンカードユーザーは是非一読していただきたい。ということで、個人情報を抜き取るまでの一部始終をご覧いただこう。
・入口の偽メールはクオリティ高め
このフィッシング詐欺の入口になる「セゾンカード」を名乗る偽メールは、複数の件名のものが存在する。
中でも最近猛威を奮っているのは、件名を問わず本文で「SAISON CARD Netアンサー」を名乗るメールだ。
「SAISON CARD Netアンサー」とは、セゾンカード会員専用のインターネットサービスのこと。偽メールの内容は、よくある「セキュリティ上、ご利用を一部制限しているから、ここからアクセスして情報を確認してください」というものだ。ヘッダーのデザインや、署名部分がいかにも本物っぽいので、クオリティは相当高いと思われる。
しかもこの偽メールの怖いところは、前回紹介した「三井住友銀行を名乗る偽メール」同様、送信元のメールアドレスが本物と思われるようなものが使われていること。
ちなみに私(耕平)自身セゾンカードユーザーでは無い。そのため本物の送信元アドレスのドメインが「@saison.co.jp」なのか断定は出来なかった。しかしセゾンカードが注意喚起している「フィッシング詐欺について」のページ内で、送信元ドメインは「@mail.saisoncard.co.jp
」と記載されていた。
この点は見分ける1つのポイントとして、セゾンカードユーザーは覚えておいた方がいいだろう。
・うっかり抜かれる個人情報
次に個人情報を抜き取るフィッシングサイトを見てみよう。偽メールにある本文中の「■ご利用確認はこちら」と書かれたリンクをクリックすると、ブラウザのセキュリティが働いて、おなじみの警告ページが登場。
構わずセキュリティを突破すると、偽のログインページが姿を現した。
ちなみに本物のログインページは、ログインIDとパスワードを記入するフォームの下に「パズル認証」と呼ばれる不正ログイン防止の機能がついている。
ただしそれ以外は見た目がほとんど一緒なので、この詐欺の存在が全く頭に無い人は、コロッと騙されてしまう可能性も高いだろう。いよいよ潜入を試みる。まずはアメリカンエキスプレスカードのフィッシング詐欺などでも試している初歩的な潜入手法である「全て数字の1を打ち込む」を試してみる。
すると……
なんと、アッサリ入れてしまった。
そして各個人情報の項目も全て「1」で打ち込んでいくと、途中「このフォームは安全な接続を使用していないため、クレジットカードの自動入……」と、自動入力機能からの登録を促してくる。
ここで自動入力を打ち込んでしまうと、詐欺グループの思うツボ。構わずひたすら「1」を全てのフォームに打ち続ける。
そして下にスクロールして、「利用規約に同意して確認画面へ」のボタンをクリックする。
そうしたら、なんと……
本物のセゾンカードの「お客様へのお知らせ」のページに飛ばされてしまった。
おそらく、この時点で個人情報が抜き取られていると思われる。
・被害に遭わないために
いかがだっただろうか? 今回紹介した「セゾンカード」を騙るフィッシング詐欺がメール、サイトともに本物と見分けが付かないくらいのクオリティであることがお分かりだろう。なので、セゾンカードユーザーは十分に注意してもらいたい。
メールの他にもSMSからのアクセスを促す詐欺手法もあるらしく、前述したセゾンカードが注意喚起している「フィッシング詐欺について」にかなり詳しく書いてある。よって、セゾンカードユーザーは必ず目を通しておいた方が良いだろう。
また毎回言っているが、とにかくフィッシング詐欺防止の一番の方法は……
「メールやSMSから、直接サイトにアクセスしないこと」
これが1番の対策なので、とんでもない金額の被害に遭わないために、ぜひとも守っていただきたい!
参考リンク:クレディセゾン「フィッシング詐欺について」
執筆:耕平
Photo:RocketNews24.
▼入口の偽メールのクオリティは高め
▼フィッシングサイトは「パズル認証」が無いので、見極めるポイントとして覚えていただきたい
▼個人情報を抜いた後に本物のサイトに飛ぶパターンが昨今では定番になりつつある