フィッシング詐欺は、効率的に利益を得ることを最終目的とする犯罪グループが好む手口です。当社は、2023年1月から10月までの間、ショッピングサイト、VisaやMastercardなどの決済システム、金融機関を標的としたフィッシング攻撃を調査した結果、その数が約3080万件に上ることが明らかになりました。そのうち43.5%の攻撃(約1340万件)で、eコマースサイトが「おとり」として使用されていました。
2023年、詐欺師は戦略的にAmazonの魅力に狙いを定めたようで、Amazonを模倣したフィッシングページを多数確認しました。中には日本語のページもあります。当社の製品は、1月から10月までの間で、Amazonのフィッシングページへのアクセスを約500万回阻止しています。その数は8月にピークを迎え、90万回以上検知されました。これは、詐欺師が人気のトレンドや消費者の購買行動に敏感で柔軟に対応する能力を持ち、ホリデーシーズンや新学期シーズンなどのピーク時に活動を活発化させていることを示しています。
Amazonの他にも、eBay、Walmart、Alibabaなどグローバルなショッピングサイトを模倣したフィッシング攻撃も多く確認されています。特にラテンアメリカで最大のeコマースサイト、Mercado Libreについては、フィッシングページへのアクセスを24万回阻止しました。より多くの金額を窃取できる可能性があることから、高級ブランドのなりすましも発生しています。
さらに詐欺師は、テクノロジー愛好家も標的としており、フィッシング攻撃の中で最も多くみられたのがAppleを騙ったもので、当社の製品は、2023年1月~10月の間で約290万件の攻撃を検知しました。そしてゲーム好きの人の中には、コンソールの購入を予約して代金を前払いしたにも関わらず商品が届かない詐欺の被害に遭っている人もいます。
10月以降は、「ブラックフライデー」という言葉を使用するドメインが、実に3倍増加していることが確認されました。そういったドメインのWebサイトは、実際には存在しない偽のショッピングサイトから正規のショッピングサイトを模倣したものまで多岐にわたります。当社は9月以降、衣類や電化製品、デジタル機器を販売する偽サイトを複数特定しました。犯罪グループに使用される主な手口は、偽のオンラインショップを立ち上げて金銭を窃取するものです。これらのWebサイトを見つけ、商品を購入しても、実際に商品を受け取ることはありません。
このほかに、偽の支払い画面を用意して購入者にカード情報を入力させ、犯罪グループが徐々にお金を引き出していくといった手口もあります。たとえば、ある有名なショッピングサイトを模倣した偽のWebサイトでは、800ユーロのギフトカードを1.95ユーロで購入できるというキャンペーンを行い、ユーザーに情報を入力させていました。安価で購入できるとされたギフトカードは存在しないため、ユーザーはただ単にその詐欺サイトの背後にいる詐欺グループに金銭を渡すことになります。
また当社は、クレジットカードのように金銭窃取に直接結びつく情報だけではなく、ユーザーの個人情報を窃取する試みも確認しています。例えば、友人、知人を紹介するとAmazonのギフトカードがもらえるとして、氏名や連絡先などを入力させる日本語のフォームです。
被害に遭わないために
詐欺の被害に遭わないために、以下のことをお勧めします。
- メールで受信したリンクや添付ファイルは一切信用せず、何を開くにしても、まずは送信者の情報を念入りに確認しましょう。
- ショッピングサイトなどに情報を入力する前に、Webサイトを念入りにチェックしましょう。URLは正しいですか?スペルミスやデザインにおかしなところはありませんか?
- ショッピングサイトに使用するすべてのデバイスを、信頼性の高いセキュリティソリューションで保護することをお勧めします。カスペルスキー プレミアムは、多岐にわたるショッピング詐欺からユーザーを保護します。
- よく知らないWebサイトで商品を購入する場合は、レビューを確認してから決めましょう。
- どれほど警戒していても、銀行やクレジットカードの明細を確認するまでは疑わしい取引に気づかないこともあります。明細を郵送で受け取っている場合は、インターネットや電話を使って、出来るだけタイムリーに支払いの履歴を確認するようにしましょう。少額であっても身に覚えのない利用に気づいた場合は、銀行やクレジットカード会社にすぐに連絡しましょう。
オンラインショッピングの脅威に関する詳しい調査レポートについては、Securelistの記事(英語)をご覧ください。