Facebookの助成金プログラムを悪用するフィッシング詐欺

新型コロナウイルスで打撃を受けた企業への支援をFacebookが発表すると、たちまち詐欺師たちがフィッシング詐欺を開始しました。

Facebookは、新型コロナウイルスの感染拡大によって打撃を受けた企業を対象に、1億ドル相当の助成金を提供しています。Facebookのブログによると、対象となるのは世界30か国以上の中小企業最大30,000社で、単純計算すると一社あたり3,300ドルとなります。このニュースは主なメディアで取り上げられ、瞬く間に拡散されました。多くの人が注目する話題に敏感なサイバー犯罪者は、このプログラムを悪用しようと、すぐに行動を起こしました。

この助成金プログラムのことを聞いたことがある人は多い一方、詳細を理解している人は多くありません。そこでサイバー犯罪者は、COVID-19の影響を受けたFacebook利用者全員がお金をもらえるかのように匂わせて詐欺を働いています。

フィッシングの餌

この詐欺の発端となるのは、CNBCが報じているように見える記事です。CNBCは米国のビジネスニュース大手で、1か月あたりの視聴者は何億人にも上ります。この記事には、COVID-19で打撃を受けた利用者に対してFacebookが助成金の提供を開始したとあり、応募用のリンクも掲載されています。ただ、文章には文法的な誤りがいくつもあり、記事URLが正規のURLである「cnbc.com」から始まっていないのも怪しげです。

CNBCのニュース記事に見せかけた偽の記事ページ

CNBCのニュース記事に見せかけた偽の記事ページ

拙い英語の文章とおかしなURLに見て見ぬふりをして先に進むと、別のWebサイトに連れて行かれます。自然災害や紛争の被害者を支援する慈善団体であるMercy Corpsの公式サイトに非常によく似たWebサイトです(リンク先は英語)。しかし、このWebサイトにはFacebookの助成金に関することしか載っていません。アクセスした人は、Facebookをこれまで何年間使ってきたかという質問に答えさせられます。このWebサイトの文章も文法的におかしく、ほとんどのリンクは機能しません。中でも悲しいのは、Facebook Grant CEO(この助成金プログラムのCEO)という役職の採用情報へのリンクもクリックできないことです。まともな給与が支払われる仕事に就くチャンスかと思われたのですが(!)。そして、このサイトのURLには「facebook.com」が含まれていないので、Facebookと何の関係もないことは明らかです。

どう見てもおかしなところだらけですが、それを無視して応募手続きを進めると、まずFacebookのユーザー名とパスワードの入力を求められます。入力すると、その情報はサイバー犯罪者の手に渡ることになります。応募の手続きを完了するまでの間に、さらに多くの情報が要求されます。アカウントを確認するためという建前で、住所、社会保障番号(米国市民の場合)、そして身分証明書の両面をスキャンした画像まで求められます。どのフィールドも入力必須になっていて、入力漏れがあるとご丁寧に教えてくれます。

すべてのフィールドに入力して送信すると、応募が受け付けられ、近日中に連絡があるという内容の確認メッセージが表示されます。

驚かないでほしいのですが、この一連の確認手続きは、あなたのFacebookアカウントを乗っ取るための餌でした。こうしてサイバー犯罪者は、あなたの友人たちをだまし、友人たちからお金を巻き上げるのに、あなたのアカウントを利用できるようになったのです。さらに、入力フォームに情報を入力させることで、犯罪者はあなたになりすますのに十分な個人情報を入手しています。手に入れた個人情報と、あなたの身分証明書をスキャンしたデータがあれば、サイバー犯罪者は事実上、あなたのアカウントにどれでもアクセス可能です。その中にはオンラインバンキングの口座もあるかもしれません。

本物のCNBCのサイトにもFacebookの支援金に関する記事は掲載されていますが、それはこのプログラムの本当の対象者である、中小企業に向けたものです。それに、そうした記事は英語という言語をきちんと理解している人によって書かれています。偽物のCNBCニュースは、Facebookが利用者への支援金を行っているのだ、と人々に信じ込ませるためだけに作られたものなのです。

本物のCNBCのニュース記事ページ

本物のCNBCのニュース記事ページ

フィッシングに引っかからないために

フィッシングの被害に遭わないためには、第1に用心深くあること、第2にフィッシングサイトをブロックする機能を持つセキュリティ製品を使用することです。2番目の方法はそんなに労力がかかりませんが(製品をインストールすればよいだけです)、常に用心深くあるためには、少しばかり努力が必要です。

  • アクセスしたWebサイトのURLをよく確認しましょう。1文字でもおかしなところがあったり、「.com」であるはずが「.com.tk」になっているなど何かが付け足されていたりしたら、フィッシングサイトである可能性があります。そうしたサイトには、個人情報を入力しないでください。
  • 文法的な間違いやレイアウトの崩れがないか確認しましょう。偽物っぽさ感じる部分があるようなら、フィッシングサイトである確率は高いと考えましょう。
  • 個人情報の入力を求めるフォームに関しては、常に用心しましょう。運転免許証やパスポートのスキャン画像の提出を求められた場合は、それが本当に公式のサイトであるかどうか、よくよく確認してください(3回チェックしてもいいくらいです)。公式のサイトであることが確認できた場合でも、これほど重要度の高い情報を送るだけの価値があるのかどうか、もう一度よく考えてみましょう。
ヒント