こんにちは、コンテンツクリエイターのともすけです。
新年一回目の投稿は、まさかの「フィッシングメール」についてです。スマホだと気が付きにくいヤバさについて解説していきます。内容を理解できた方は、ぜひ周りに教えてあげてください。
ふだんなら、見た瞬間に分かるフィッシングメールはスルーしている筆者ですが、今回のは以下の点でヤバかったので急いで記事化しています。
- Gmailの強力なフィルターをかいくぐっている
- メールの文体が「自然である」
- 表向きは正規のリンクを載せているように見えるが、実は違うこと
まずはフィッシングメールの一部のスクショ
この「イオングループ」を偽装したフィッシングメールの特徴は
- 文面が自然
- 読み手を焦らす文面がない → 信用させやすい
- リンク名がそれっぽい → 信用させやすい
です。スクショ内に3箇所、青字でリンクが示されてますよね。この中の1つ、一番上にあるリンク文字列を「目で見ながら手打ち」してみました。結果は
となりました。はい、そのようなページは存在しません。しかし、実際のメールにあるリンクを触った場合は、違うサイトへ連れて行かれるため 404 は出ないはずです(安全のため、筆者は偽リンクを踏んでいません)。
その偽リンクとは、同じ画像を再度引っ張ってくると
真ん中の下の方に、何やらながーい小さな文字列があることに気が付くでしょうか?
はい、これは実際に相手が誘導したいリンクそのものです。このメールはApple macOSに付属の「メール」アプリで確認しています。リンクの上にマウスカーソルを持ってきて「数秒待つ」と本物のリンクが出てきます。
さらっと説明すると、このメールはHTMLメールと言います。HTMLでは、ウェブリンクを
- そのまま表示
- 代替テキストを表示
のどちらかを選んで表示させます。そのまま表示されれば偽リンクがすぐバレるため、相手は代替テキストとして本物っぽいリンクテキストを見せて、メール受信者を欺いてリンクを押させようとしています。
まとめ
スマホだと画面が小さいため、このようにHTMLメールのリンク先がどこかを表示させるのは、できないか簡単ではないと思っています。フィッシングメールを出している相手は、そのスマホの特性を狙いつつ、メールをスマホでしか確認しなさそうなややIT系が得意でない人をターゲットにしていると思われます。
改めて注意することを整理すると
- 不審なメールは開かない
- 開いたときに、「そんなカードは契約してないぞ」と思っても、メールにあるリンクは絶対に触らない
- 文体に不審さが見られなくても、すぐ上に書いたことは絶対にやらない
でしょうか。ほんっとに、万が一本物のメールだったとしても、メールのリンクを踏まない(クリックしない、タッチしない)を徹底し、直接Google検索などで公式サイト(公式のホームページ)へ行って問い合わせてください。
ただ、「そんなカードは契約してないぞ」と思ってイオンの公式窓口を調べて電話やメールをすると、イオンの実際の担当者に負担を掛けます。イオンは悪くないのに。その辺りは意識してください。
このような巧妙なフィッシングメールの被害が減ることを願って、急いで記事化しました。
それではまた