JC3では、スマートフォンのSMS(ショートメッセージサービス)を利用してフィッシングサイトに誘導する手口(スミッシング)を確認しています。
これまで、佐川急便を装い不在通知の偽メッセージを送って同社の偽サイトへ誘導し、利用者に不正アプリをインストールさせたり、Apple IDとパスワードを入力させて詐取したりするという被害が発生していました。
JC3では、佐川急便の偽サイトに関する調査を継続していたところ、この度、新たに、日本郵便を装ったSMSと同社を装った偽サイトを確認しました。
また、他の運送系企業をかたる手口へ拡大・移行していくことも予想されますので、注意してください。
図 不在通知の偽メッセージ
スミッシング被害に遭わないために、
・ 心当たりがないメッセージは開かない
・ メッセージに記載されたURLへ安易に接続しない
・ 信頼できるところからしかアプリはダウンロードしない
・ ID、パスワードを入力する際は、正規サイトであることを確認する
などの点に注意してください。
図 佐川急便と日本郵便を装った偽サイト
図 iPhoneで偽サイトに接続した場合
不正アプリをインストールしてしまった場合、ユーザーの携帯電話番号を利用したSMSが利用され、偽のSMSを他の人達に送られてしまうほか、盗まれた携帯電話番号等により通信事業者のキャリア決済が利用されてしまう可能性があります。また、最近の警察による捜査の結果、受信したメッセージを不正アプリの機能によって盗み見られること等により、キャッシュレスサービス等のアカウントが攻撃者によって新たに作成され、犯罪に利用される可能性があることが指摘されています。
万が一不正アプリをインストールしてしまったら、独立行政法人情報処理推進機構(IPA)のウェブサイトに記載されている対処方法を参考としてください。
(IPA 安心相談窓口)
https://www.ipa.go.jp/security/anshin/mgdayori20180808.html
図 不正アプリをインストールした場合の被害