JC3では、警察、会員企業と連携し、銀行を騙ったフィッシングによる不正送金の被害が急増していることを確認しており、個人情報、インターネットバンキングのアカウントやパスワード等をフィッシングサイトに入力しないよう注意を呼び掛けております。
2019年9月頃から、銀行を騙ったフィッシングメールによりフィッシングサイトへ誘導され、インターネットバンキングのパスワード等の情報が窃取されることにより、不正送金が行われる手口による被害が急増しております。
最近の手口として、
・フィッシングメールにSMS(ショートメッセージサービス)が使用されている
・正規サイトのURLと誤認させるため、フィッシングサイトのURLにHTTPSから始まるものが使用されていたり、.jpドメインが使用されているものもある
・フィッシングサイトにおいて、インターネットバンキングのアカウントやパスワードの情報のみならず、ワンタイムパスワードや秘密の合言葉等を入力
させる
などの特徴があり、巧妙な手口となっていることから特に注意が必要です。
図 フィッシングメール(SMS)
図 巧妙なフィッシングサイト
図 ワンタイムパスワードの窃取
また、このような手口による不正送金のほかにも、返金等を装ったフィッシングメールから誘導されるフィッシングサイトにおいて、インターネットバンキングのアカウントを持っていない場合であっても、氏名、通帳に記載されている残高や暗証番号等を入力させるものも確認しており、入力してしまった場合には、預金口座から不正に振替が行われる可能性があります。
2020年6月現在においても、銀行を騙った様々な内容のSMSやメールからフィッシングサイトへ誘導され、不正送金が行われる被害が発生しております。
こうした被害につながる手口に加え、5月中頃から、運送系企業を装ったSMSのリンクへiphoneで接続した場合に、不審なポップアップを表示させ、銀行を騙ったフィッシングサイトへ誘導する手口を確認しております。一見すると、銀行とは関係のないSMSの内容となっておりますが、不正アクセスを検知した旨のポップアップが表示されることにより、スマートフォンからの通知と錯誤させ、ユーザーを騙しているとみられます。
なお、運送系企業を装ったSMSのリンクへandroid端末で接続した場合は、不正アプリをインストールするようにポップアップが表示され、不正アプリをインストールしてしまうと、情報の窃取やフィッシングサイトへの誘導等をされる可能性がありますので、以下の注意喚起もあわせてご参照ください。
・「運送系企業を装ったフィッシングの注意喚起」(詳細はこちら)
・「不正アプリによる銀行を騙ったフィッシングサイトへの誘導」(詳細はこちら)
図 運送系企業を装ったSMS
図 運送系企業を装ったSMSのリンクへ 図 運送系企業を装ったSMSのリンクへ
iphoneで接続した場合のポップアップ android端末で接続した場合のポップアップ
運送系企業を装ったSMSから銀行のフィッシングサイトへ
誘導されるまでの流れ(Android端末の場合)
運送系企業を装ったSMSから銀行のフィッシングサイトへ
誘導されるまでの流れ(iPhoneの場合)
被害に遭わないためには、メールに記載されたリンクに安易にアクセスしないことが重要です。
また、以下の点に留意することも重要です。
・事前に正しいウェブサイトのURLをブックマークに登録して、ブックマークからアクセスする
・各銀行のウェブサイトにおいて、インターネットバンキングのパスワード等をメールで求めないなどの情報を確認する
・表示されたWebサイトのURL等を確認する
万一、不審なウェブサイト等にパスワード等を入力した場合には、速やかに各銀行の問い合わせ窓口等へご相談ください。