Video Screencast Help
Security Response

偽の宝くじやギフトでクリスマスを悪用するフィッシング詐欺

Created: 06 Jan 2012 07:34:14 GMT • Translations available: English
Mathew Maniyara's picture
0 0 Votes
Login to vote

共同執筆者: Avdhoot Patil

詐欺師たちにとって、クリスマスのような大きいイベントはいつでも、フィッシングサイトに新しいワナを登場させる格好のチャンスです。先日のクリスマスも例外ではなく、今回は偽の宝くじやギフトが餌として使われました。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

1 つ目の例は、有名なゲームブランドを詐称し、ユーザーにクリスマスギフトを進呈すると称しているフィッシングサイトです。サイトには、ユーザーがこのギフトを気に入ることを期待している、ぜひゲームを楽しんでほしいと書かれています。偽ギフトを受け取るために、ユーザーはログイン情報を入力したうえに、簡単なフォームにも回答するよう求められます。

フォームで質問されるのは以下の項目です。

  • クリスマスにはこのゲームをプレイしますか?
  • 可能であれば、どのような形でご協力いただけますか?
  • 年齢をお答えください。
  • ギフトをお選びください。

ギフトの選択肢は、クレジットポイント、VIP ステータス、クラブのメンバー資格、各種のバッジでした。

ログイン情報を入力してフォームにもすべて回答すると、ユーザー情報の送信を感謝する次のようなページが表示されます。この手口に乗ってフィッシングサイトにログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

銀行関係でも、多数のフィッシング攻撃が出現しました。有名な銀行になりすましたフィッシングサイトも確認されており、この偽サイトでは、宝くじの賞金が手に入ると書かれていました。提供される宝くじはクリスマスラッフル(福引き)で、偽の賞金額は 250 万ドルにものぼると謳われています。この賞金獲得の資格を得るために、ユーザーはフルネーム、メールアドレス、パスワードの入力を求められます。画面には、情報の送信後に送られてくる確認メールをチェックするよう促す注意書き(以下のスクリーンショット)も表示されます。ログイン情報を入力すると、フィッシングページは銀行の正規の Web サイトにリダイレクトされるので、ユーザーには有効な認証が実行されたように見えてしまいます。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティ 2012 など、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。