Twitterでのサポート詐欺:被害に遭わないために

会社の公式Twitterアカウントになりすまし、フィッシングサイトに誘導しようとする詐欺が見られています。だまされないためには?

インターネット上では、その人が実在する人物なのかどうかを知りようがありません。このような身元確認の難しさを利用して、Twitter上で企業のテクニカルサポート担当者になりすまし、金融関連の情報を引き出そうとする詐欺が見られます。

Twitter上でサポートを求める人をだます手口

どこかの企業やブランドに直接話しかけたいとき、手っ取り早いのは、SNS(主にTwitter)で公式アカウントにメンションする方法です。大体の企業はTwitterアカウントを開設してSNS担当者を置き、投稿されたメンションに直接回答したり、サポート窓口に回したりして対応しています。

ところが、投稿に反応した人が本当にその企業の担当者なのか、はっきりしない場合があります。その上、正直な話、SNSでやりとりしている相手が誰なのか(友だちである場合は別として)、細かく注意を払う人は多くありません。主な関心は、やりとりの内容にあります。こういった傾向を利用し、どこかの企業やブランドの公式アカウントに見せかけて人々をだます者が現れるようになりました。

典型的な流れを見ていきましょう。

まず、ある人がTwitter上に不満を投稿します。この人は、企業公式アカウントからの反応を期待しています。

詐欺師がその企業の担当者を装って投稿に返信し、不満を投稿した人が自分に話しかけてくるように仕向けます。続いて詐欺師が取る行動は、主に以下の3つです。

  1. 続きはダイレクトメッセージ(DM)でやりとりしようと提案する。DMに移動すると、個人情報を言葉巧みに聞き出そうとします。
  2. Twitterではない別のプラットフォームで直接やりとりすることを提案する。DMに移動する場合と同じように、個人情報を聞き出そうとしてきます。ただ、そこでのやりとりはTwitterのルールの適用外です。
  3. 困っている人を助けようとする通りすがりの人のふりをする。「Twitterに投稿しても、なかなか回答はもらえないですよ。問い合わせフォームに直接要望を書き込んだ方がいいです」などというコメントと一緒に、リンクを貼り付けていきます。このリンクからアクセスしたフォームには機密性の高い情報を入力するフィールドがあり、しかも入力が必須のフィールドとなっています。

詐欺のほとんどは、暗号資産(仮想通貨)関連サービスを利用している人をターゲットにしています。このようなサービスは、法律の面では今でもグレーゾーンにあるためです(この分野には、大金を稼ぐチャンスもあります)。別の分野の公式アカウントのふりをする場合もあります。

なりすましアカウントがリプライを送る様子

BlockchainとTrustwalletのTwitterアカウントになりすましてDMでのやりとりを提案したり、親切な人のふりをしてサポートサイトへの(偽の)リンクを投稿したり。スクリーンショット提供元:@Malwarehunterteam

Twitterでのサポート詐欺にだまされないために

こういった偽の公式SNSアカウントにだまされないためには、以下の点にご注意ください。

  1. アカウント名の表記を確認する。相手のアカウント名は自分が連絡を取りたいと思っていた企業やブランドの名前で間違いないか、微妙に違ったところがないか、よく確認してください。また、公式サポートが個人アカウントから連絡してくることはありません。さらに、アカウント名だけでなく、Twitterのハンドル名(ユーザー名、IDとも言う)も必ず確認してください。著名人に見せかけた偽のアカウントを使った暗号資産詐欺をはじめ、多くのなりすまし案件では、表示名には本人の名前が使用されていても、Twitterのハンドル名を見ると偽物であることが明らかな場合が多々ありました。
  2. 認証済みバッジを確認する。大手企業の公式アカウントの場合、基本的にTwitter名の右側にチェックマーク(青い認証済みバッジ)が付いています。ただし、公式アカウントに認証済みバッジが付いていない場合もあるので、認証済みバッジの有無だけで判断するのではなく、それ以外にも詐欺を示す兆候がないかどうか確認してください。公式アカウントに認証済みバッジが付いていない場合は、その会社のWebサイトに掲載されている公式Twitterアカウント情報から、アカウントのハンドル名を確認できます。
  3. DMで個人情報を教えない。特に気を付けたいのが、自分のアカウントへの不正アクセスに使われる可能性のある情報です。アカウント名を教えるのは問題ありませんが、パスワードを教えたり、パスワードの復元に使用するセキュリティ質問の回答にしている情報を教えたりしてはいけません。
  4. 公式サイト以外のWebサイトにあるフォームには情報を入力しない。Googleドキュメントその他のファイル共有サービスを、普通の企業がサポート目的で使用することはありません。
  5. フィッシングを検知できる、信頼性の高いセキュリティ製品を使用する。フィッシング対策機能が搭載されたセキュリティ製品は、公式サイトではなく偽物のWebサイト(フィッシングサイト)にアクセスしようとした場合に、警告を表示します。

今回の記事では、一般の人がTwitter上でサポート詐欺に遭わないためのヒントをお伝えしました。こういったなりすましアカウントや嘘の善意の人から自社のお客様を守る立場にある方は、こちらの記事をご参照ください

ヒント
新着記事をメールでお知らせします