Gメールのフィッシング詐欺対策が完璧すぎる件(Amazonを騙った偽装メール)

僕はクソメールマニアなので、頻繁に迷惑メールフォルダをチェックしています。

そのメールがなぜ迷惑メールとして振り分けられてしまったのか?に興味があり、迷惑メールの進化の歴史にも興味があるからです。

昨日もいつものように迷惑メールをチェックしていたところ、よくできた迷惑メールを見つけました。迷惑メールというよりは、クレジットカードの番号やAmazonの会員情報をだまし取るための詐欺メール(フィッシング詐欺)です。

そしてGメールの迷惑メール対策、フィッシング詐欺対策が万全なことに驚かされました。

フィッシング詐欺メールの内容

フィッシング詐欺のメールはAmazonを騙ったものでした。以下がフィッシング詐欺メールの内容です。説明のために僕が追記した部分は緑文字で書いておきます。

メールのタイトル:[緊急の通知] Amazoneプライムのお支払いにご指定のクレジットカード有効期限が切れています!

Amazonプライムをご利用頂きありがとうございます。お客様のAmazonプライム会員資格は、2019/02/24に更新を迎えます。お調べしたところ、会費のお支払いに使用できる有効なクレジットカードがアカウントに登録されていません。クレジットカード情報の更新、新しいクレジットカードの追加については以下の手順をご確認ください。

1. アカウントサービスからAmazonプライム会員情報を管理するにアクセスします。

2. Amazonプライムに登録したAmazon.co.jpのアカウントを使用してサインインします。

3. 左側に表示されている「現在の支払方法」の下にある「支払方法を変更する」のリンク
をクリックします。

4. 有効期限の更新または新しいクレジットカード情報を入力してください。

支払方法の情報を更新する(←画像リンクになっており、フィッシング詐欺用のウェブサイトにリンクしている)

Amazonプライムを継続してご利用いただくために、会費のお支払いにご指定いただいたクレジットカードが使用できない場合は、アカウントに登録されている別 のクレジットカードに会費を請求させて頂きます。会費の請求が出来ない場合は、お客様のAmazonプライム会員資格は失効し、特典をご利用できなくなります。
Amazon.co.jpカスタマーサービス

どうですか?本物っぽくないですか?

いかにもAmazonから送信されてきたメールに見えますよね?

でもこれ、正真正銘の詐欺メールなんですよ。

文章だけを見るとなんの問題も無いように見えますが、

  • 送信元のメールアドレス
  • リンク先

はAmazonのものではありませんでした。

また、そもそも受信した僕のメールアドレスはAmazonに登録していません

ということで、詐欺メールに書かれているように僕はAmazonのプライム会員に登録しているものの、「これは詐欺メールだ!」と気付けたわけです。

Gメールのフィッシング詐欺対策が完璧すぎる

「怪しかったので詐欺メールだと気付けました」と書きましたが、すみません。ウソを付きました。

実は僕が詐欺メールだと気付く前に、Gメールが警告を出してくれていました

「フィッシング詐欺サイトへのリンク」と書いてある部分は僕が書き加えましたが、Gメール側の方で

  • 迷惑メールに振り分ける
  • 「このメールにはご注意ください」と警告文が表示される

ようになっています。

さらに、フィッシング詐欺サイトへのリンクはクリックできないようになっており、そもそも詐欺サイトへアクセスできないようになっていました。

僕はどうしても気になったので、一度「迷惑メールではない」にしてから再度メールを開き、それからフィッシング詐欺サイトにアクセスしようとしてみました。

すると・・・。

リンクをクリックした時点で上記のような警告メッセージが表示され、容易にアクセスできないようになっています。

リンク先のURLはAmazonによく似ていますがAmazonのものではなく、URLをよく見ている方であればこの時点で不審だと気付けます。

それでもさらに「続行」から強引にアクセスしようとすると・・・

上記のようなページに転送されてしまい、どうしてもアクセスできないように対策されていました。

Gメールから一度フィッシング詐欺の疑いをかけられると、このように様々な対策を取られてしまいます。

メルマガの発行者などは自分のメルマガが不審なメールだと判定されないように気を付けたり、メルマガ内で紹介するサイトが偽装サイトではないことを確認しておかないと、いくらメルマガを配信しても無意味になってしまいますね。

最初の犠牲者にならないために出来ること(対策)

Gメールのフィッシング詐欺対策は万全を期していますが、これは誰かの犠牲があったからこそできたものです。

Twitterで「フィッシング詐欺」と検索すると、毎日様々な事例が報告されています。

アップルからメールきたー!って思ったらこういうので、ほんとにアップルからなのかなってメアド見たらYouTubeって文字がメアドに入ってるしめちゃくちゃ怪しい!!っておもて調べたらフィッシング詐欺だったわ
あぶない… みんな気をつけて pic.twitter.com/nha6I1GGM7

— もえ (@blue0402mo) 2019年2月22日

こういうツイートよく見るんですが、フィッシング詐欺防止のためにも正規サイトでも一度間違ったIDパスワードを入力する癖つけるのオススメです。

フィッシングサイトなら、それでログインできるので偽サイトとわかるし個人情報抜き取られないで済むので

デメリットは恐ろしく手間がかかること(笑) https://t.co/UgLrgM7TP1

— ミツキー (@kijounokuur0n) 2019年2月23日

最初はGメールの迷惑メール判定をすり抜け、受信者が本物のメールだと思ってリンク先へアクセス。クレジットカード情報を入力する段階で不審に思ってフィッシング詐欺だと気付くケースや、最後まで気付かないケースもあります。

そういった無数の犠牲のもとにGメールのフィッシング詐欺対策は作られているので、自分が最初の犠牲者にならないように、詐欺メール対策の知識は最低限知っておきたいですね。

 基本的には「送信元のメールアドレス」や「アクセス先のURL」を調べることで被害を未然に防ぐことが出来ます。下記記事をご参考にどうぞ。

コメント

タイトルとURLをコピーしました