キャッシュレス隆盛の陰でショートメール詐欺が急増中!

キャッシュレス隆盛の陰でショートメール詐欺が急増中!

2019年10月に消費税率が10%に引き上げられたタイミングに合わせて、キャッシュレス決済も大々的に推進
金融機関も、現金を扱うコストを削減できるとしてキャッシュレス化の拡大を図り、官民を挙げてキャッシュレス化に邁進
キャッシュレス決済には
QRコードなどを使うスマホ決済
インターネットバンキング
クレジットカード決済
ICカードで支払う電子マネー
消費者を対象にした調査を見るとキャッシュレスの利用率は着実に増加している
スマホやパソコンで簡単な操作をしたり、カードをかざすだけで済む支払い方法は、手軽で利便性が高く、一度慣れれば多くの利用者が継続して使用しやすくなる

本物に酷似する、フィッシングメールの罠
その利便性の隙を突いた犯罪も急増
フィッシングメール(サイトなどへ誘導する手口)がより巧妙になり、メールの文面や誘導先のサイトは本物と見間違うほど
キャッシュレスサービスに慣れない人たちはハッカーや犯罪者たちにとって格好の餌食になっている
ウェブ上で銀行から直接振り込みや支払いなどができるインターネットバンキングの利便性も高まり、サービスも増加している
そのネットバンキングで、19年9月から預金が不正に送金される被害が急増
11月の被害額だけを見ても約7億7600万円
手口は
金融機関を装った偽のメールやショートメッセージサービス(SMS)をスマホなどに送信
暗証番号などを盗み取る
パソコンなどに比べて差出人などの確認がおろそかになりがちなスマホを狙う
12月にも同様の手口で、琉球銀行を装ったSMSを用いて不正送金される詐欺が発生した
7件の不正アクセスにより658万円の被害が発生
被害を食い止めるため
銀行などでは2段階認証を導入
2段階認証とは、ユーザーにIDやパスワードを入力させ、企業側がユーザーにセキュリティーコードを送付し、そのコードを再度入力させることで、より安全にサービスを提供する仕組み
セブン&アイ・ホールディングスのスマホ決済アプリ、7pay(セブンペイ)が不正利用されたケースは記憶に新しい(同アプリには2段階認証などの安全対策が施されていなかった)
だがもはや、この2段階認証すら万全ではない
2段階認証を狙った攻撃も確認された
手口は
攻撃者は銀行などを装って、お客様の口座が不正利用されている可能性があるという類の偽のSMSをスマホに送り、ユーザーを本物そっくりの偽サイトに誘導して個人情報を入力させる
ユーザーは本物の銀行サイトにIDやパスワードを入力しているようにしか思っていない
偽のサイトに打ち込んだIDやパスワードを、攻撃者が正規のサイトに入力
正規のサイトからユーザーにセキュリティーコードが届く
そこで攻撃者は再度ユーザーに偽のSMSを送り、そのコードの入力画面を表示させ、コードを打ち込ませる
攻撃者が、ユーザーのデータをすべて詐取できる仕組みで、何段階の認証を用意しようが、いたちごっこ
この手の犯罪行為が今後急増?
この2段階認証突破を狙う詐欺サイトのドメイン数は急増、企業も対策に追われている
SMSを用いた不正送金は、銀行のシステム自体が破られているわけではないので対応が難しい
注意喚起しかできない状況
三井住友銀行では一連の事象を受け、19年10月から、一部の顧客に対し、ネットバンキングでの1回の振り込み上限額を引き下げ、上限額を変更する場合は別途パスワードを用いて手続きする方法に変更

ダークウェブに出回る、日本人を狙った詐欺文面
犯罪者らが巣くう地下の「ダーク(闇)ウェブ」では、日本の銀行や保険会社を名乗ったスミッシング(詐欺SMSをスマホに送ること)で利用されている文面が出回っている
実際のSMSの画像には、日本のすべての主要銀行から24カ月の無利子融資と書かれ、その後にリンクが付けられている
このリンクをクリックすると実在する日系銀行の本物そっくりのフィッシングサイトなどに飛ぶ
そこでデータが抜き取られる、しかもこのメッセージはダークウェブで出回っては消える、というのを繰り返しており、その度にリンク先の銀行が変わっている
国内外に拠点を置く外国人犯罪者が多く、情報を購入して最終的には預金を盗み出すことに成功している
日本を狙っているのは、実は日本人の詐欺グループだけでなく、発信元が外国である
フィッシングメールにおかしな日本語が混じっているケースでは外国人が絡んでいる
途上国の広告系企業が関与して、詐欺のSMSを日本人にばら撒いている
特に銀行系が狙われているが、日本だけでなく多くの先進国で激増している
日本の法律では、外国の主権を侵害することになるため、外国のサーバーに侵入できず、フィッシングなども攻撃元のサーバーが設置されている国の捜査機関に捜査を依頼するしかないので、国外からの攻撃にはお手上げで、無法地帯の状況にある
アカウントは永久ロックと一部日本語に違和感のある箇所がある
注意深く読み、リンク先を押さないことです
金融機関を装ったものだけでなく、多種多様なサービス業者のふりをして襲ってきている
通販サイトからアカウント確認を促すメールや、携帯会社の口座入力を求めるメッセージ、宅配業者からの再配達の案内通知などがある
例えば
通販大手のアマゾンに扮(ふん)したフィッシングメール
メールが実際にアマゾンを利用した後などに届けば、ほとんどの利用者は何の疑いもなくすぐクリックしてしまいそうです
こんなケースも、一つめの通知は本物でも、同じ画面に表示される二つめの通知は偽物という、悪質な詐欺の手口
これは国際通信を用いたSMSで発生、国際SMSの仕組みでは、送信者は英数字を用いて自由に自分の名称を設定
受信側では、同じ名称の送信者からのメッセージは同一のスレッドに表示されるため、通信事業者や通販事業者の名前を騙(かた)ったメッセージを受信すると、正規のメッセージと同じ画面に表示され、すぐには判断がつかない。
怪しいメッセージの文面は一度ネットで検索し、
同様の手口の事例がないかを調べてから、実行するのが賢明です

指先一つ」のスピード感があだに、一度立ち止まって警戒を?
米国などでは、企業が不正利用される恐れのあるドメインをあらかじめいくつも取得
日本企業は犯罪者が企業名と類似した文字列のドメインを取得し、詐欺メールが多発した
米国ではなりすましメールを防御する仕組みを導入する企業が多く、日本企業もそういった先進事例に触れ、対策を検討する必要がある
サイバー被害の報告を企業に義務付ける法案を提出する方向で話が進んでいる
事前に正しいウェブサイトのURLをブックマークに登録しそこからアクセスする
各銀行のウェブサイトでネットバンキングのパスワードをメールなどで求めないことを確認する
いま不正や詐欺にあっていないからといって、将来安全とは全く言えない
ネットバンキングやスマホ決済利用の際、決済・送金のボタンを押す前には必ず一度止まることを心がける
サイトのURLを確認するだけでなく、大きな額の決済にスマホ決済を用いるのは控えるなどの対応も必要
新しいシステムは、攻撃者にとって格好のターゲット
利便性の陰に潜む脅威にも、しっかりと目を見張る