狡猾な手段でパスワードや個人情報を抜き出すフィッシング詐欺。
その手口は年々多様化しており被害の件数は減っていません。
そんな中、ついに筆者の元にも三菱UFJ銀行を名乗るフィッシング詐欺のSMS(ショートメール)が届きました。
実際に届いたメッセージを元にフィッシング詐欺の見分け方や対策をまとめます。
こんなメッセージはフィッシング詐欺
ある日筆者の元にも一通のSMS(上記画像)が届きました。
三菱UFJ銀行は筆者のメイン口座があります。
三菱UFJダイレクトというネットから送金や残高確認出来るサービスも使っていませんがはるか昔登録した覚えがありました。
そのため初めはフィッシング詐欺だと気付かなかったです。
SMSが届いた時は仕事中だったので「パスワード変更とか時間かかりそうだし後で見よう」と思ったのが幸い、落ち着いてから見たらフィッシング詐欺っぽい。
調べてみたら案の定フィッシング詐欺の定型文でした。
今回フィッシング詐欺と見分けた理由は以下の通り。
- 日本語がおかしい
- 誘導先ドメインが「.dl」
- 署名が誰やねんという感じ
- そもそもお金に直結するサービスのパスワードをSMSで変えろと言ってくるか?住所もメールアドレスも登録しているのに。
日本語は明らかにおかしいですよね。
パッと見たときは「注意」とか「パスワードが失効」しか見えていませんでしたが、「失効し、メンテナンスサイトにより更新をお願いします。」とは、まるで走り書きのようで違和感しかありません。
サービス名も三菱UFJダイレクトのはずが「ダイレクト」しか書かれていなかったり、パスワードの変更がマイページじゃなくてメンテナンスサイトというのも意味がわかりません。
加えてそのメンテナンスサイトのドメインは「.dl」という聞いたことも無いものです。
念の為UFJ銀行のHPを見に行きましたが、全てのページが日本ドメイン「.jp」でした。
メッセージの最後についている署名のような「dlT」も誰やねん??という感じです。百歩譲ってディレクターチームとかそんなのだとしましょう。なんでそんなところからメッセージが来るねん!!!!思わず関西弁になっちゃうくらいの雑さですね。
ちなみに過去の重要なお知らせは全てメールで来ていました。SMSで来るということは
電話番号しか知らない(適当に当たっていけばいつかは人にたどり着くから)詐欺集団と言うことです。
その他にも【至急】とか【限定】とかついてるメッセージやメールも詐欺の可能性が高いです。
三菱UFJ銀行からの注意勧告
ちなみに三菱UFJ銀行のHPではどのような対策をしているのか見に行きました。
基本的にランダムで送信されているので客側が気をつけることしか出来ないのですが、UFJ銀行では下記のようなルールを設け、それ以外のメールやメッセージはまず一度疑ったり相談をしてくださいとのことでした。
- 三菱UFJダイレクトでは、EV(Extended Validation)SSLサーバー証明書により、ご利用時に真正なサイトであることの確認が可能です。
「三菱UFJダイレクト」ご利用時に真正なサイトであることを確認する方法について
- 三菱UFJ銀行のホームページで暗証番号、パスワード等の重要情報の入力を受け付ける場合には、SSLによる暗号化通信を行っております。SSLによる暗号化通信が行われるページのアドレスは「https://」から始まっており、画面の右下(Webブラウザのステータスバー)または上部(Webブラウザのアドレスバー)に鍵のマークが表示されます。鍵マークをダブルクリックしてサーバー証明書を表示し、三菱UFJ銀行のドメインおよび英文組織名が書かれていることをご確認ください。
【三菱UFJ銀行のSSL(暗号化通信)証明書】
- 三菱UFJ銀行のドメイン名は「bk.mufg.jp」です。証明書の「発行先」は「www.bk.mufg.jp」「www02.bk.mufg.jp」「direct.bk.mufg.jp」のように、「bk.mufg.jp」で終わっています。
- 三菱UFJ銀行の英文組織名は「MUFG Bank, Ltd.」です。
- 当行ホームページに頻繁にアクセスする場合は「https://www.bk.mufg.jp/」などのURLをブラウザ上で手入力された後に表示されるホームページを「お気に入り」「ブックマーク」に追加し、ご利用の際はアドレスバーに表示されるURLをご確認になることをおすすめします。
- ご注意
- 万一、当行の名前で不審な電子メール等が届いた場合は、安易にリンク先ホームページにアクセスしたり、アクセス先のホームページに暗証番号、パスワード等を入力しないように重ねてお願いいたします。
引用元:https://www.bk.mufg.jp/info/mail_chuui/ (三菱UFJ銀行HP)
その他の銀行でも同様の手口
さすがにSMSを受け取り、フィッシング詐欺と気付いたときは不安になりました。
他に同様のSMSを受け取っている方は居ないかなと調べてみたところ、結構な件数がヒット。(笑)
内容を見てみると大元の文章はテンプレで、
- みずほ銀行
- 三井住友銀行
- りそな銀行
など大手都市銀行はサービス名を入れ替えてほぼ全て同じようなSMSが送られているようです。
三菱UFJ銀行の口座がない方も、同様の手口のSMSが来る可能性がありますので充分に気をつけてください。
フィッシング詐欺に合うと何が起こるのか
フィッシング詐欺によって誘導されたURLにアクセスしてしまった場合、いったい何がおこるのでしょうか。
実はURLを踏んだだけではそれほど大きな影響はありません。(URLを踏むことでアカウントが存在することがばれる可能性はあるので必ずしも大丈夫ではないです)
怖いのはURLを踏んだ先にあるID・パスワード・個人情報の入力画面で情報を入力してしまった場合です。
詐欺集団の用意したサイトなので入力した内容はリスト化され、悪用されてしまうのです。
特に銀行口座などの財産に直結するサービスの情報は瞬く間に使用されてしまうので、より注意する必要があります。
万が一URLを踏んでしまったら
万が一URLを踏んでしまったら、情報を入力してしまったら。
すぐに対象の機関に相談し、変えられる情報は出来るだけ変えましょう。
例えば
- パスワードの変更(同じパスワードを設定しているサービスもすべて変更しましょう)
- メールアドレスの変更
- 電話番号の変更
- 口座の一時凍結
- 免許証の番号変更
など。
URLを踏んだだけでは大きな被害は出にくいですが万が一を考えて出来るだけの対策はしておくべきです。
また、すでに被害にあってしまっている場合は警察へ届け出ましょう。
まとめ
- 銀行を名乗ったSMSはほぼ100%詐欺!
- 日本語やドメインのおかしいメッセージは100%詐欺
- 怪しいと思ったら記載のURLではなく公式サイトからお知らせや手続き状況を確認する
- フィッシング詐欺に合ったらすぐにパスワードなどを変える、対象のサービスを提供している機関へ連絡をする
- 実際に被害に合ってしまったら迷わず警察へ!
手口が巧妙化していてうっかり騙されてしまいそうになりますが、日頃から注意深く見て対策をしておきましょう。
詐欺は絶対に許せません!
詐欺撲滅へ向けて、みなさんも充分にご注意ください。
関連記事
★↓↓この記事が「役に立った」と思ったらポチっとお願いします!!↓↓★
にほんブログ村
