フィッシングはサイバー犯罪者にとっての一大事業です。主に著名企業などを装って、いかにも本物らしく信用できそうな見た目のメールやリンク、Webページを作成し、警戒心の薄いユーザーに重要な個人情報を提供させ、そこからお金を稼ごうとしているのです。
この脅威はどれくらいの規模なのでしょうか?Kaspersky Labが実施した調査で、Web上のフィッシング詐欺の22%が、Facebookを標的としていることがわかりました。また、SNSのWebサイトを装ったフィッシングサイトは、カスペルスキー製品のアンチフィッシング機能が反応したケースの35%以上を占めています。カスペルスキー製品のユーザーがフィッシングサイトにアクセスしようとしたケースは、これまでに6億回以上記録されており、カスペルスキーユーザーが偽のFacebookページへのリンクをクリックしようとするインシデントは、1日当り20,000件以上です。
Kaspersky Labの調査では、フィッシング詐欺の5件に1件でFacebookが標的に
Tweet
一見したところでは、攻撃者が誰かのFacebookアカウントにアクセスできたところで、得るものは少ないように思えるかもしれません。しかしSNSは、目的を達成するための手段なのです。Facebookの友達から届いたメールメッセージの方が信用されやすいため、たとえば銀行から直接届いたように思えるメールよりも、Facebook上で繋がっている友達や企業が送ってきたメッセージの方が、ユーザーが目的のリンクをクリックしたりメールを開いたりする可能性が高くなります。
攻撃者がFacebookのログイン情報を欲しがる大きな理由は、他にもあります。アカウントを乗っ取って身代金を要求することや、乗っ取ったアカウントを第三者に売ることです。アカウントを買い取った組織は、そのユーザーの友達や他のFacebookユーザーにスパムを送信します。サイバー犯罪者にしてみれば、偽のアカウントを作成するより、本物のアカウントからスパムを送る方が、都合がいいのです。
では、偽のFacebookメッセージの被害に遭わないようにするには、何をすればいいのでしょう? Facebookから送られてきたと思われるお知らせメールが届き、お知らせの内容を見るにはログイン情報の入力が必要だと言ってきた場合に備えて、Kaspersky Labは以下に示す予防手段をお勧めしています。こうしたメールでは、詳細情報を見るためにどこかへアクセスするように催促される場合もあれば、何らかの罰則措置(アカウントのアクセス権失効など)を回避するために何かする必要があると警告される場合もあります。
1. Webサイトの接続のセキュリティ状況に注意しましょう。正しいURLのように見えても、最初に「https」が付いていない場合は、ほぼ間違いなく正規サイトではありません。
2. 差出人のアドレスと、その人物や組織が普段送ってくるメールのアドレスを比べてみてください。おそらく偽物です。
3. 誤字脱字など、フィッシング詐欺を思わせるサインに注意します。Facebookが送ってきたというメールを読んでいると、Facebookにアクセスしてメッセージを取得するためのリンクが含まれていることがあります。そのリンクにマウスカーソルを合わせると、画面の下にアドレスが表示されますが、www.facebook.comというURLがどこにもない場合は、本物ではありません。
4. メッセージを開いたときに新しいページに転送された場合は、そのページのURLを確認してください。本来転送されるはずのページではなかったときは、すぐにページを閉じましょう。
SNSユーザーは要注意:フィッシング詐欺の22%はFacebookが標的
Tweet
5. 友達から不審なメールやFacebookメッセージを受け取るようになったら、友達のアカウントが乗っ取られている可能性が高いことを、すぐに(ただし、その不審なメッセージには返信せずに)教えてあげましょう。
6. モバイルユーザーは特に注意:こうした脅威はモバイルユーザーの間にもまん延しています。同じ目的を持つWebページが、モバイルデバイスで見やすいように作られているからです。さらに、多くのモバイルブラウザーではWebアドレスバーが非表示になっているため、モバイルユーザーの方が詐欺に気づきにくくもあります。