JC3において、2019年5月に「運送系企業を装ったフィッシング」(詳細はこちら)として注意喚起を行っておりましたが、同手口によりインストールされる不正アプリによって、銀行を騙ったフィッシングサイトへ誘導される新たな手口を確認しています。
なお、フィッシングメールによって、銀行を騙ったフィッシングサイトへ誘導する手口も発生しているとみられるので、引き続き注意が必要です。
現時点においてJC3で確認できた手口として、不正アプリがインストールされたAndroidスマートフォンに銀行のアプリケーションが入っている場合、銀行を騙ったポップアップが表示され、確認ボタンを押すと、銀行を騙ったフィッシングサイトへ誘導されます。
この手口は、これまでのフィッシングメールによって誘導される手口とは異なることから、注意が必要です。また、銀行以外のフィッシングサイトへ誘導することも可能な手口であるため、今後、様々なフィッシングサイトへ誘導する可能性もあることから注意が必要です。
なお、銀行以外のフィッシングサイトへ誘導する手口として、キャリア決済への不正アクセス等に関するポップアップが表示され、携帯電話会社等を装ったフィッシングサイトへ誘導する手口も確認しております。
図 表示されるポップアップ
Androidスマートフォン上に不審なポップアップが表示された場合には、すでに不正アプリをインストールしてしまっている可能性があるので、独立行政法人情報処理推進機構(IPA)のウェブサイト(IPA安心相談窓口の注意喚起情報はこちら)に記載されている対処方法を参考としてください。
不正アプリは、現時点においても、運送系企業を騙ったスミッシングによりインストールを促される手口が確認されております。
このため、スミッシングの被害に遭わないためには、SMSに記載されたリンクに安易にアクセスしないことが重要です。また、以下の点に留意することも重要です。
・信頼できるところからしかアプリはダウンロードしない
・ウェブサイトにアクセスする場合には、事前に正しいウェブサイトのURLをブックマークに登録して、ブックマークからアクセスする
ことなどが重要です。