一般財団法人日本サイバー犯罪対策センター JC3:Japan Cybercrime Control Center


インターネットバンキングの不正送金の被害に注意

2019年 10月 24日 作成
2019年 12月 19日 更新
2020年 6月 8日 更新
2020年 8月 17日 更新

~フィッシングによる不正送金の被害に注意~

 JC3では、警察、会員企業と連携し、銀行を騙ったフィッシングによる不正送金の被害が急増していることを確認しており、個人情報、インターネットバンキングのアカウントやパスワード等をフィッシングサイトに入力しないよう注意を呼び掛けております。

  1. フィッシングによる不正送金の被害が急増

  2.  2019年9月頃から、銀行を騙ったフィッシングメールによりフィッシングサイトへ誘導され、インターネットバンキングのパスワード等の情報が窃取されることにより、不正送金が行われる手口による被害が急増しております。
     最近の手口として、
     ・フィッシングメールにSMS(ショートメッセージサービス)が使用されている
     ・正規サイトのURLと誤認させるため、フィッシングサイトのURLにHTTPSから始まるものが使用されていたり、.jpドメインが使用されているものもある
     ・フィッシングサイトにおいて、インターネットバンキングのアカウントやパスワードの情報のみならず、ワンタイムパスワードや秘密の合言葉等を入力
      させる
    などの特徴があり、巧妙な手口となっていることから特に注意が必要です。

    図 フィッシングメール(SMS)
    図 フィッシングメール(SMS)


    図 巧妙なフィッシングサイト
    図 巧妙なフィッシングサイト


    図 ワンタイムパスワードの摂取
    図 ワンタイムパスワードの窃取

     また、このような手口による不正送金のほかにも、返金等を装ったフィッシングメールから誘導されるフィッシングサイトにおいて、インターネットバンキングのアカウントを持っていない場合であっても、氏名、通帳に記載されている残高や暗証番号等を入力させるものも確認しており、入力してしまった場合には、預金口座から不正に振替が行われる可能性があります。

  3. 様々な手口によるフィッシングの被害

  4.  2020年6月現在においても、銀行を騙った様々な内容のSMSやメールからフィッシングサイトへ誘導され、不正送金が行われる被害が発生しております。

     こうした被害につながる手口に加え、5月中頃から、運送系企業を装ったSMSのリンクへiphoneで接続した場合に、不審なポップアップを表示させ、銀行を騙ったフィッシングサイトへ誘導する手口を確認しております。一見すると、銀行とは関係のないSMSの内容となっておりますが、不正アクセスを検知した旨のポップアップが表示されることにより、スマートフォンからの通知と錯誤させ、ユーザーを騙しているとみられます。

     なお、運送系企業を装ったSMSのリンクへandroid端末で接続した場合は、不正アプリをインストールするようにポップアップが表示され、不正アプリをインストールしてしまうと、情報の窃取やフィッシングサイトへの誘導等をされる可能性がありますので、以下の注意喚起もあわせてご参照ください。
     ・「運送系企業を装ったフィッシングの注意喚起」(詳細はこちら
     ・「不正アプリによる銀行を騙ったフィッシングサイトへの誘導」(詳細はこちら
     

    図 運送系企業を装ったSMS
    図 運送系企業を装ったSMS


    図 運送系企業を装ったSMSのリンクへiphoneで接続した場合のポップアップ 図 運送系企業を装ったSMSのリンクへandroid端末で接続した場合のポップアップ
    図 運送系企業を装ったSMSのリンクへ           図 運送系企業を装ったSMSのリンクへ
      iphoneで接続した場合のポップアップ           android端末で接続した場合のポップアップ


    運送系企業を装ったSMSから銀行のフィッシングサイトへ
     誘導されるまでの流れ(Android端末の場合)  


    運送系企業を装ったSMSから銀行のフィッシングサイトへ
     誘導されるまでの流れ(iPhoneの場合)  

  5. 被害に遭わないために

  6.  被害に遭わないためには、メールに記載されたリンクに安易にアクセスしないことが重要です。
     また、以下の点に留意することも重要です。
     ・事前に正しいウェブサイトのURLをブックマークに登録して、ブックマークからアクセスする
     ・各銀行のウェブサイトにおいて、インターネットバンキングのパスワード等をメールで求めないなどの情報を確認する
     ・表示されたWebサイトのURL等を確認する
     万一、不審なウェブサイト等にパスワード等を入力した場合には、速やかに各銀行の問い合わせ窓口等へご相談ください。

<関連情報>

【警察庁】 【全国銀行協会】 【みずほ銀行】 【三菱UFJ銀行】 【三井住友銀行】 【ジャパンネット銀行】 【ゆうちょ銀行】 【トレンドマイクロ】