共同執筆者: Avdhoot Patil
宝くじ詐欺は、目新しいフィッシング手法ではないため、フィッシング攻撃者たちは、新たな偽の宝くじの手口を常に探っています。今回は、宝くじの賞金を慈善事業に寄付するという手口が使われています。大手銀行が顧客向けの宝くじを企画しており、賞金の一部が慈善事業に寄付されると謳うフィッシングサイトを作成しています。フィッシング攻撃者たちは、賞金の獲得と慈善事業への寄付という 2 つのメリットに顧客たちが騙されるだろうと考えたのです。フィッシングサイトは、米国の Iowa Park にあるサーバーでホストされていました。
フィッシングサイトには、顧客に資格情報の入力を求めるログインリンクが用意されています。このリンクをクリックすると、名前、くじの番号、および電子メールアドレスの入力を促すフィッシングページが表示されます。
図 1: 姓名、くじの番号、および電子メールアドレスの入力を求めるフィッシングサイト
必要な情報をこのフィッシングサイトに入力すると、宝くじの詳細、つまり、くじの番号と当選照会番号が表示され、宝くじの当選金額が「80 万英ポンド」であると強調されます。また、宝くじの賞金を顧客の銀行口座に振り込むための[TRANSFER(振り込み)]と書かれたボタンがページの下部に用意されています。
図 2: 宝くじの詳細を求めるフィッシングサイト
[TRANSFER(振り込み)]ボタンをクリックすると、振り込み先の銀行口座の詳細を要求されます。ここで要求されるのは、口座の名義、口座番号、銀行名、国/地域名です。最後に、寄付をする慈善団体を選択するように求められます。この手口に乗ってフィッシングサイトにログイン情報を入力したユーザーは、個人情報を盗まれ、金銭詐取に使われてしまいます。
図 3: 銀行口座の詳細を要求するフィッシングサイト
図 4: 慈善団体の選択を求めるフィッシングサイト
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。