「お客様宛のお荷物があります。QR コードをスキャンしてください」

宅配サービス業者になりすましたサイバー犯罪者が、偽のQR コードを使って銀行カードの詳細情報を入手した例をご紹介します。

宅配サービス業者になりすましたサイバー犯罪者が、偽のQR コードを使って銀行カードの詳細情報を入手した例をご紹介します。

今やオンラインショッピングは日常生活の一部となっています。数回クリックするだけで、食料品、衣服、そのほかの商品を玄関先まで届けてもらうことができます。オンラインショッピングを愛用する人は大勢いますが、注文した荷物のことを忘れたり、宅配業者からの電話を取り逃したりしてしまうことがあります。当然のように、偽の配達通知をおとりに使用するサイバー犯罪者は、オンランショッピング愛好者のこの状況に付け入ろうとします。

その一例が、国際宅配便サービス業者である DHL 社になりすましたサイバー犯罪者たちです。詐欺のきっかけとして被害者が受信するメールに含まれるのは、通常のフィッシングのリンクではなく、QR コードです。この記事では、この詐欺の経緯と理由についてご紹介します。

「お客様宛のお荷物は郵便局にあります」

詐欺は、DHL 社からと思わせるメールをきっかけに始まります。送信者のアドレスは、ランダムな単語が並んだもので、宅配業者の名称に関連するものではありません。しかし、メッセージの本文には会社のロゴ、注文番号(偽の番号)、配達予定日が含まれ、説得力のある内容となっています。

メッセージ(この例ではスペイン語)には、注文した商品が近くの郵便局に届いているものの、宅配業者が直接届けることができないと書かれています。通常、そのような偽のメッセージには「問題を解決する」というリンクが付いていますが、今回の場合は代わりに QR コードが付いています。

DHL 社からと思わせるメールと QR コード。(スクリーンショット内の QR コードは危険でないものに置き換えてあります)

DHL 社からと思わせるメールと QR コード。(スクリーンショット内の QR コードは危険でないものに置き換えてあります)

QR コードの用途は実に多岐にわたります。たとえば、Wi-Fi の接続、購入した商品の支払い、コンサートや映画のチケットの購入確認にも使用することができます。しかし、最も一般的な使い方は、オフラインでリンクを配布することでしょう。商品のパッケージ、広告ポスター、名刺などにある黒と白の四角いコードをスキャンすることで、関連する Web サイトに素早くアクセスすることができます。

もちろん今回の場合、犯罪者はユーザーの利便性を考慮していません。被害者が最初にコンピューターでメールを開いた場合、表示された QR コードをスマートフォンでスキャンする必要があります。つまり、悪意のあるサイトはモバイル端末の小さな画面で開かれることになりますが、小さな画面ではフィッシングであるかどうかを見抜くのは困難です。モバイルブラウザでは、スペースの制約によりURL は完全に表示されません。また、Safari のアドレスバーは最近、画面の下部に移動されましたが、多くの人はそこを確認しません。偽のサイトの URL は公式のものとは似ておらず、DHL という言葉さえ書かれていないのに、これではサイバー犯罪者の思うつぼです。

また、Web サイトに書かれた文字も小さいため、デザインに問題があってもあまり気付きません。最初のページには黄色と赤のトレードマークが載っており、下部には会社の名前が書かれています。文章は最初の文字が小文字になっている箇所が少しあることを除いては、ほとんど誤りはありません。

被害者は、荷物が 1 ~ 2 日で届くので、受け取るために氏名、住所、郵便番号を入力するよう求められます。実際の宅配業者もそのような情報を求めるため、被害者は疑いません。

偽の DHL 社のサイトでは、個人情報に加えて銀行カードの情報が求められます

偽の DHL 社のサイトでは、個人情報に加えて銀行カードの情報が求められます

しかし、データ収集はそれで終わりではありません。次の画面では、配達料の支払いを目的に、カードの裏面に書かれた CVV コード(セキュリティコード)を含む銀行カードの情報など、より機密性の高い情報を入力するよう求められます。犯罪者は、地域によって配達料が異なると述べ、荷物が届くまで費用が引き落とされることはないと約束して、金額を明示しません。本物の DHL 社の場合、配達依頼を受けた時点で、事前に配達料の支払いを求めます。また、荷物を受け取れなかった場合は、無料で再配達が行われます。

決済データを使用して犯罪者が行うこと

犯罪者は、費用の引き落としを偽の DHL からのメールと結びつけられることを避けるため、被害者のカードをすぐに使用することはありません。それよりも、入力された決済データをダークウェブ上で販売する可能性が高く、被害者が存在しない荷物のことを忘れてしまった頃に、データの買い手が金銭を吸い上げることになります。

ご自身を詐欺から守るために

サイバー詐欺から身を守るための通常のルールは全て、この場合にも当てはまります:

  • 有名なサービスをかたるメールを受信した時は、常に送信者のメールアドレスを確認してください。@ の後ろに会社の実名がなければ、ほとんどの場合は詐欺と言えるでしょう。そのほかの特徴については、過去の別記事をご覧ください。
  • 荷物を受け取る予定がある時は、追跡コードをメモし、公式サイトで状況を確認してください。公式サイトは、ブラウザのお気に入りに登録してあればそこから開くか、検索エンジンに手動でURL を入力して開きましょう。
  • QR コードをスキャンする際は、Kaspersky QR Scanner(AndroidiOS の両方でご利用いただけます)を利用いただくと安全です。このアプリを使用すると、危険なサイトへ誘導する QR コードかどうかが分かります。
  • すべてのデバイスで、フィッシング対策や詐欺対策を行う保護機能が搭載された信頼できるウイルス対策製品を使用してください。何か危険があれば、製品が警告を発してお知らせします。
ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?