英Sophosは現地時間7月7日,米PayPalをかたるフィッシング詐欺が出回っているとして注意を呼びかけた。偽メールに記載された電話番号に48時間以内に連絡しないと,PayPalのアカウントが失効すると脅す。電話をすると,自動応答メッセージが流れ,PayPalに登録しているクレジット・カード番号を入力するよう促す。
一般的にフィッシング詐欺とは,偽メールを使って偽のWebサイトに誘導し,個人情報を入力させようとする詐欺のこと。しかし最近,偽サイトへは誘導せずに,偽の電話番号へかけさせて個人情報を盗もうとする詐欺が増えている。例えば米Websenseでは,米国の銀行「Santa Barbara Bank&Trust」をかたる同様のフィッシング詐欺を警告している(関連記事:「ボイス・フィッシング」出現,口座番号を電話で入力させる)。
今回Sophosが警告したフィッシング詐欺はPayPalをかたるもの。偽メールには,「あなたのアカウントが詐欺に使われた可能性があるので,48時間以内にクレジット・カード番号を確認させてほしい。さもないと,このアカウントを無効にする」といった内容が書かれている。
メールにはURLなどは一切書かれておらず,連絡先として電話番号だけが記載されている。その番号に電話をかけると,自動応答のメッセージが流れ,電話の番号ボタンを使ってカード番号を入力させようとする。手口としては,Santa Barbara Bank&Trustをかたったフィッシングと同じである。
Sophosでは,「よく利用するサイトの本当のURLを知っているユーザーでも,電話番号が本物かどうかは分からないので,だまされる恐れがある」として注意を呼びかけている。
なお,Sophosでは今回のような電話を使ったフィッシングを「phone phish(フォン・フィッシュ)」と呼んでいるが,Websenseでは「voice phishing(ボイス・フィッシング)」としている。
