カテゴリ:
スマートフォンの普及により、ショートメール(SMS)での詐欺が増えています。

特に迷惑メール防止のアプリやサービスなど入れている人は自分は大丈夫と思いがちです。しかし近年はメールよりもSMSがフィッシング詐欺で狙われやすくなっています。その仕組みと被害について今回は解説していきます。

今回この日記を書いたのは、実際に親族がSMS詐欺にひっかりそうになっていたのを見たので、注意喚起をできたらと思い、できるだけ最新の情報を基にまとめました。


この日記の最後の方に実際の詐欺SMSの文例画像をつけましたんで、一通り読んだら見てみてください。

なぜSMSが狙われやすいのか?(2020年11月版)
一番は手軽なことでしょう。マルウェアを経由して、他人の携帯よりランダムに生成した電話番号に片っ端からSMSを送信したり、使い捨ての携帯よりランダムに生成した電話番号に片っ端からSMSを送信したりするBot攻撃が使えるからです。

その中のURLをクリックすると、その携帯番号は生きていることがプログラム側に通知され、その後は闇サイトで売買されるリストに掲載され流通します。そうすると、どんどん色々な詐欺メールが更に送られてくる悪循環に陥ります。

図で見るとこんな感じです。

n8
■引用元:Internet Watch

ポイントは迷惑メール防止のソフト、サービスもSMSに対しては文面の判別をしていないことと、送信元を偽装しやすい点でしょうか?


どんなタイプの詐欺にあうのか?(2020年11月版)

個人情報を取得する

これは昔からある王道の詐欺です。個人情報って別に知られてもとか思うかもしれませんが、例えば以前日記で書きました「ドコモ口座」を通じて預金が不正に引き出された事件では、こういったフィッシングサイトに誘導されて個人情報を入力した人たちの情報が利用されたと言われています。

マルウェアに感染して意図せず詐欺に加担する

とくにAndroidを使用しているユーザは、アプリのインストールに制限がないため、マルウェアの被害に遭いやすいと昔から言われています。これに対し、iPhoneは最近まではAppleStoreを通じてしかアプリのインストールを許可してこなかったおかげで、このような被害はほとんどなかったと言われています。
しかし「サプライチェーン攻撃」と呼ばれる、アプリの配信元のPCをハッキングし、ここから認証を通っているアプリにマルウェアを仕込む方法が最近見られるようになってきました。

このマルウェア、種類は大きく分けてこんなものがあります。
kagoya201906-1
1.トロイの木馬タイプ
このタイプは多分iPhoneには少ないように思われます。何をするものかと言いますと、バックドアと呼ばれる簡単に端末を操作できる入り口を作っておいて、そこから使用者に気づかれないように端末を遠隔操作します。
これで困るのはカメラを乗っ取られた場合です。カメラを乗っ取られると、携帯がある空間のものは犯罪者にすべて筒抜けになります。個人情報につながるものは、例えば自宅を常時覗かれる状態だとすると簡単に漏洩しますよね。
2.スパイウェアタイプ
このタイプはユーザーが端末に入力した情報(パスワードなど)を記録し、送信します。または個人情報っぽいデータを収集し送信するなどします。このタイプは口座からお金が引き落とされたり、小額ずつ何度も換金できそうな商品を勝手に購入されたり、犯罪者のプリペイドカードに勝手にお金をチャージしたりします。

3.コンピュータウイルスタイプ
このタイプも多分iPhoneには少ないよ思われます。何をするものかと言いますと、自分の複製を作成し、第三者に送信したりして感染を広げます。

4.ワームタイプ
このタイプも多分iPhoneには少ないよ思われます。何をするものかと言いますと、対象の端末内で自己増殖し、端末を乗っ取ったり、操作不能にさせたりします。データと引き換えに身代金を要求するようなタイプはこれにあたります。

実際の文例(2020年11月版)

1.ドコモバージョン その1
02_s

2.ドコモバージョン その2
01_s


3.ソフトバンクバージョン
fig_image1


4.佐川急便バージョン
https___imgix-proxy.n8s.jp_DSXMZO3791892019112018CC0001-4

5.クロネコヤマトバージョン
20181213_ya_001

6.Amazonバージョン
EhM3t-XUcAAUyfM

7.よくあるバージョン
9

まとめ
このように、SMSの詐欺は拡大をみせつつあり、被害も拡大傾向です。
そこで以下の点に留意しましょう。

〇SMSで個人情報を入力させることはない
 ※会員登録した瞬間に飛んでくるメール以外ではほとんどが詐欺
〇本物っぽいサイトに誘導されても、そこから入力しない
 ※一旦Googleなどで検索して、自分で探したサイトより操作しましょう
〇SMSやメールは不安なら開かない
〇URLが本物っぽくても、クリックしない
 ※URLは意外に偽装できます。SSLですら最近は偽のものがあります。

ネットは便利な反面、十分な知識がないと詐欺にひっかかりやすくなります。気を付けましょう。



■参考サイト: