『知っトク!』「スミッシング」ってご存じ?

迷惑メール

SMSのリンクのタップは厳禁!!

「スミッシング」ってなに?

ネットを見ていると、時々「スミッシング」なんて言葉を目にすることがあります。
これは「SMS」と「フィッシング」を組み合わせた造語で、フィッシング詐欺の中でも
特にSMSを用いたものを指します。
私も何度か遭遇していますが、ここでいくつかご紹介しておきたいと思います。
一番多いのが、宅配業者に成りすましたもの。
これは、「ご本人様不在の為お荷物を持ち帰りました。ご確認ください。」とのメッセージ
と共にリンクを付けてきます。

また、こちらの場合は、「やまと運輸よりお荷物を発送しましたが、宛先不明です、下記より
ご確認ください。」とのメッセージと共にリンクを付けてきます。

また、宅配業者だけでなく、やっぱりアマゾンを騙ったものもあったりします。
内容は、例によって「Amazonプライム会費のお支払い方法に問題があります。」と書かれて
いて、これもリンクが付けられています。

どれも、メッセージで慌てさせたり、焦らせたりするような内容で、受信者が判断を誤って
URLをタップしてしまうために被害が発生します。


「スミッシング」被害の実例

要するに、いつも書いているフィッシング詐欺メールと同様の手口・手法が用いられており
このURLで用意された詐欺サイトで様々な悪事をはたらきます。
・マルウェアを仕込んだアプリをインストールさせる。
・アプリによってSMSや電話帳/連絡先を盗まれる。
・盗まれた電話番号に対して同じようなSMSを送る。
上記はスミッシングの手口の一例です。その他にも情報漏えいや盗み出した携帯電話番号の
リストを元にうっかり開いてしまいそうな文章とともにURLを送るような手口もあります。
実際に日本国内においても、配送業者になりすまして、SMSに「不在通知」のような
メッセージと共にURLを送付され、誤ってタップしてしまうことでスマートフォンが
乗っ取られるケースも報告されています。

先日も、ご当地愛知県で不正に入手したクレジットカード情報を元にNTTドコモの「d払い」
サービスを不正利用した疑いで3人の詐欺グループを逮捕されました。
詐欺グループは、盗み出した情報を利用し、家電量販店にてノートPCなど計190万円分を
購入し、その後売却し換金したそうです。
この場合も、宅配業者に成りすまし「不在通知」のようなメッセージを送ってきたそうです。

この詐欺グループは、細かく役割分担をしていたそうで、まず主犯格の男がスミッシングで
入手したクレジットカード情報をd払いに紐付けた後「買い子役」がそのd払いで家電などを
買いまくって転売します。
そしてカードで購入した品物を「荷受け役」が受け取ると言った仕組み。
指示役以外の実行役は、SNSで1回3万円とし闇バイトを募集し、応募してきた人たちです。


被害に遭わないために

メールアドレス宛の迷惑メールや詐欺メールには注意している人であっても、携帯電話番号
は信頼しているサービス(または人)だから大丈夫と油断しがちです。
また、メッセージには、焦らせたり、すぐに対応しないと被害を受けたりするような文章を
用いて心理的に追い込み判断力を失わせるようなことも被害が拡大する要因と言えます。
犯人側は、ランダムに携帯電話の番号にSMSを送るシステムを構築している可能性もある
のでSMSだからと言って油断しないでください。

スミッシングは企業や組織、サービス名などを装ってメッセージを作成します。
もちろんURLも公式のURLに偽装している場合がありますので、フィッシングメール詐欺の
場合と同様に、メッセージ内のリンクはタップせず、スマホアプリがあればそちらから
確認するか、アプリが無ければネット検索で正規サイトを探した上で各印するように
心掛けることが被害を未然に防ぐための一番の方法です。

NTTドコモはahamoを含めたドコモユーザー全員に対して、2022年3月中旬からこういった
フィッシング被害につながる危険性のあるSMSを自動で拒否する「危険SMS拒否設定」の
提供を行う予定。
また、ソフトバンクやワイモバイル、LINEMOユーザーも含めて、2022年春ごろから
迷惑SMS対策として「なりすましSMSの拒否」、「URLリンク付きSMSの拒否」および
「迷惑SMSフィルター」の新機能を提供する予定で、KDDIも同様の機能を追加してくると
思われます。
これにより、被害は抑えられることになるとは思いますが、手を変え品を変えて次の手を
考えて無ると思いますので油断せず注意することを心掛けたいと思います。。。

タイトルとURLをコピーしました