情報処理推進機構(IPA)は2021年6月下旬、いわゆる「SMSフィッシング」の新しい手口が確認されたとして注意を呼びかけた。
宅配業者の不在通知に見せかけたメッセージでユーザーを偽サイトに誘導。本人確認と称して、運転免許証などの写真や電話番号を詐取しようとする。
「なぜこんなものにだまされるのか」と思う人は多いだろう。だが、被害が相次いでいるのが実情だ。
だまされないためにはどうすればよいのか。今回は新たに出現した手口とともに、だまされないためのポイントを解説する。「自分は大丈夫」と思われる方も改めて確認してほしい。加えて、身の回りの人にも伝えてほしい。
偽サイトでは本人確認書類を要求
SMSフィッシングとは、SMSの偽メッセージでユーザーを偽サイトに誘導し、個人情報を入力させて盗むネット詐欺のこと。偽サイトで不審なアプリをインストールさせる場合もある。
国内で最初に大きな被害をもたらしたSMSフィッシングは、佐川急便の不在通知に見せかける手口だった。その後、別の宅配業者をかたる手口も相次いで出現。現在では電子商取引(EC)サイトや金融機関、通信事業者などをかたる手口も増えている。とはいえ、不在通知に見せかける手口は今でも多い。
これまでの手口では、偽メッセージ中のURLをタップしたスマートフォンの機種によって誘導先を変える。攻撃者が用意する偽サイトでは、スマートフォンから送られる情報を見てユーザーの機種を判別し、その後の誘導先を変える。
具体的には、Androidスマートフォンの場合は悪質なアプリをインストールさせるサイトに誘導する。悪質なアプリをインストールすると、スマートフォンに保存された個人情報などを盗まれる。
さらに、偽メッセージを手当たり次第に送信する。被害者であるにもかかわらず、加害者にもなるのだ。
一方iPhoneの場合には、「電話番号と認証コード」や「Apple IDとパスワード」を入力させる偽サイトに誘導する。
今回の新手口では、偽メッセージ中のURLをタップすると、AndroidスマートフォンとiPhoneのいずれでも偽の「Web再配達受付サービス」サイトに誘導される。
偽サイトでは、電話番号やメールアドレスの入力や、本人確認書類(運転免許証、マイナンバーカード、パスポート)の写真のアップロードが要求される。
要求通りに入力およびアップロードすると、それらは全て攻撃者に奪われてしまう。
