詐欺(サギ)サイトへ誘導するメールについてのお話です。
詐欺サイトは、フィッシングサイトとも呼ばれます。

ITの知識も人並みで、騙されないぞと思っている人でも、騙されそうになってしまうほど、手口が巧妙になってきました。
今日は、某都市銀行になりすまして、IDやパスワードを盗んでしまう手口について紹介します。

きっかけは↓このようなメールです。
件名には”「三菱東京UFJ銀行」本人認証サービス”とあります。

メール

シンプルな案内文にリンクが添えてあります。
このリンク、HTML表示で見ると、 umfg.jpのアドレスに見えますが、実際のとび先は、hnmdbw.comというニセのウェブサイトになっています。
ここで、おかしいと気づく人は気づくのですが、見た目だけで判断してしまうと詐欺サイトへ直行してしまうことになります。

ニセサイトへのリンクをクリックするとどうなるかですが、
このような詐欺メールが世の中に出回ってからある程度の時間を経過している場合、このサイトが危険なサイトであることが周知されるので、最近のブラウザは「表示先のサイトはフィッシングサイトで、アクセスすると危険ですよ!」と警告を表示してくれます。
↓こんな感じです。

IEの場合Firefoxの場合Chromeの場合

ただし、詐欺メールの出初めのころは、フィッシングサイトであることの周知が間に合っていない場合もあり、その場合は上記のような警告が表示されることなく、いきなりフィッシングサイトが表示されることになります。

フィッシングサイトは本物そっくりのページです。
これだけを見たら私でも騙されてしまいます。

フィッシング詐欺サイト

ここで、契約番号とそのパスワードを入力すると、
次は、↓このような画面で、確認番号の入力を要求してきます。
上の画面で「確認番号表の入力を入力することはありません」と言っておきながら、入力させるので、この時点でおかしいと気づくことがあるかもしれませんが、まあ、ここまで来たら、気づかないで入力してしまうのかもしれません。

MUFGでは、ログインした後でも、重要な取引の操作に当たっては、カードに記載された確認番号をいくつか要求してきます。でも、すべての数字を聞いてくることは絶対にありません。
笑ってしまうのが、私のカードには5行分の確認番号しか記載されていないのですが、詐欺サイトでは10行分の入力を要求してきます。そういうカードもあるということなのかもしれませんが。

確認番号

 

そして、操作の最後には本物のMUFGのサイトに飛ばしてくれるというご丁寧さです。

今回は銀行の詐欺サイトのお話でしたが、他には、
・スクウェア・エニックスのフィッシングサイト
・Amazonからの発送商品の不具合のご報告フィッシングメール
など、枚挙にいとまがありません。

皆様におかれましては、このような詐欺にだまされないようにお気を付けください。