詐欺
詐欺に引っかからないためには、物事を批判的に考え、前提を疑うことが大切です。
知らない人から突然TwitterのDMが届き、仮想通貨(暗号通貨)口座のログイン情報を渡すからお金を引き出すのを手伝ってほしいというリクエストが来たら、あなたはどうしますか?
冷静に考えれば、この場合の正しい行動はDMを無視することでしょう。しかし、その時の気の持ちようによっては、一攫千金のチャンスかもしれないと、誘惑に負けることがあるかもしれません。最近、カスペルスキーのエキスパートは、こういったスパムメールキャンペーンを確認しました。今回は、このような詐欺に騙されないために、見極めるべき危険信号をお伝えします。
まず、実際に送られてきたDMのスクリーンショットを見てみましょう。
個人アカウントから送られてきたとみられるDM。ウェブサイトのアドレス、アカウント名、パスワード、そして残高も書かれています。
まず、見知らぬ人からTwitterのメッセージが届きました。ある仮想通貨取引のプラットフォームで、アダムXXという名義の口座には、6桁もの仮想通貨が貯まっており、この金額を引き出すのを助けてほしいと言うのです。そのメッセージには、その口座にアクセスするためのログイン情報も書かれています。
実際にサイトにアクセスしてログイン情報を入力してみると、なんと、メッセージに書かれていた金額またはほぼ同額が入った実際の個人口座にアクセスできました。この時点では、メールの話をまだ詐欺だと決めつけることはできません。
今サイトにログインしている間にも、アダムの保有額が9万ドルも増えました。
疑いの目を持ち、危険信号を見逃さない
まず、基本にかえりましょう。もしあなたが数千万円ものお金を持っていたとして、そのお金を、会ったこともない、見ず知らずの他人にアクセスする権利を与えるでしょうか。管理してほしいと頼むでしょうか?頼むわけがありません。まともな人であればそんなことはしません。この理由だけで(その他すべての419スパムメールを含めて)このメッセージをゴミ箱に捨てるには十分です。
しかしながら、他にも危険信号があります。何らかの理由で本当に見ず知らずの他人に助けを求めざるを得ない状況になった人がいたとして、たまたまあなたの元にDMが送られてきたとしたら?さらに不審な点を探ってみましょう。
謎のお金持ちのアカウント、人気なさすぎ!
まず、TwitterのDMを送信したお金持ちらしき人物のアカウントを見てみましょう。フォロワー数やフォローしているアカウントの数がゼロです。Twitterのアカウントを作成する主な目的は、他の人とコミュニケーションを取り、フォローし合うことではないでしょうか。
次に、この人物にリプライしても、一向に連絡が来ません。試しにメッセージを送ってみましたが、1週間も反応がありませんでした。これも危険信号の1つです。もともとのメッセージが大量送信されたものであることを暗示しています。何十人、何百人、あるいはさらに何千人もの人に同じユーザー名とパスワードが送られた可能性があります。そのうちの何人がログインを試みたのでしょうか?
では、3つ目の危険信号です。ユーザー名とパスワードを見ると、このユーザーがアダムと呼ばれていることはわかりますが(ちなみに、アダムのパスワードは極めて弱いものです)、メッセージ発信元のTwitterハンドル名はアダムとは何の関係もありません。このメッセージの送信者は、乗っ取りに成功した仮想通貨の口座を空にする手伝いをして欲しいと言っているのでしょうか? (実際、この口座には仮想通貨は全く入っていないのですが、それについては後述します)。
では、もう一つの危険信号について、専門知識のある人は気づくことができるでしょう。仮想通貨が保管されているというサイトのURLにスペースが入っている点に注目してください。これは詐欺師が、Twitterの新規メッセージの通知を受け取るメールアカウント側でのセキュリティを回避しようとする手法です。
実際にそのサイトにアクセスしてみると、より多くの危険信号が明らかになります。デザインは単純で安っぽく、ドメイン名で検索すると詐欺に関する情報ばかりがヒットします。本物の仮想通貨取引所であれば、たとえあまり知られていなくても、メディアやフォーラムで何らかのレビューがあるはずです。この取引所には何もなく、「偽物」としか言いようがありません。
仮想通貨を引き出すためにお金を支払う
このプラットフォームから資金を引き出すには、トレードキーと呼ばれるもう1つのパスワードが必要であることがわかりました。しかし、そのパスワードを教えてくれる人はいません。しかし、プラットフォーム内部で送金することはできます。そのためには、VIPステータスの新しい口座を開設し、その口座にアダムのお金を転送する必要があります。そうすれば、必要なパスワードがすべて揃うので、問題なく引き出すことができます。
非常に頭が悪い人のようだ
VIPステータスを取得するには、自分の仮想通貨ウォレット情報を入力して、新しい口座にいくらかのお金を入金する必要があります。しかしその後、何も引き出すことはできないことに気づきます。また、ここで入力してしまった自分自身のログイン情報が詐欺師に知られてしまい、自身のウォレットからも通貨が抜き取られるという流れになるのです。
このウェブサイト自体は、単なるフィッシングサイトで、仮想通貨とは全く関係がありません。最近確認されたキャンペーンでは、詐欺師がこのようなサイトを立ち上げ、多数のTwitterアカウントにログイン情報を送りつけています。
この偽の「仮想通貨プラットフォーム」において、怪しい点が2つありました。まず、仮想通貨を送金するのに自分のウォレット情報が求められることはありません。送金者は、自分のウォレットインターフェースから必要金額を送金するための支払先アドレスを受け取るのが普通です。次に、ちゃんとした金融プラットフォームであれば、プラットフォーム上にあるお金を動かすのに、第三者からの支払いを求めることなどありません。振込手数料の請求ならわかります。しかし、お金を引き出すために別のカードでの支払いを要求されるなんてことがあるでしょうか?
さらに、フィッシングサイトにはありがちの、下手な英語やふぞろいのレイアウトといった問題もあります。
フィッシングを回避する方法
被害に遭わないためには、詐欺師の手口を理解し、危険信号を見抜けるようになる必要があります。上記の仮想通貨詐欺に見られたすべての危険信号をまとめました。
おいしい話が突然降ってきた場合、次のことを自分に問いかけてみてください
- 見ず知らずの人がなぜ、知り合いではなく自分に助けを求めているのか?
- ボットではないか?
- 返信がないのはおかしくないか?
- メッセージは怪しくないか?(ドメイン名内にメールフィルターを欺くためのスペースが含まれているなど)
- 誘導されるサイトはどんなサイトなのか?そのサイトの評判はどうか?
- デザインやインターフェースに信頼感はあるか?(世界中にあるサイトの半分は信頼できそうなデザインになっていませんが、送金システムに関わるサイトでなければ問題ないでしょう)
- 要求されていることは理にかなっているか?
- すでにプラットフォーム上にあるお金で取引を行うために、第三者の資金を使って支払いを行わなければならないのは普通なのか?
- 疑念を持たせないように急かされていないか?
- 話がうますぎるのでは?
深呼吸して上記の問いに答えることで、目の前にぶら下がっている儲け話に思わず手を伸ばす前に、今何が起こっているのかしっかりと理解することができるようになります。
このケースで見られた様々な危険信号は、相手が詐欺師であることを明確に示すものでした。ですが、危険信号がたった1つであったとしても、注意を喚起するには十分です。このようなメッセージがでたらめのユーザーからではなく、友人から来たとしても警戒する必要があります。友人のアカウントが乗っ取られている、ということもあり得るのです。
悲しいことに、こうまで問題がなくならない理由は、どれだけ警戒していても、やはり人間というものは、うまく作られた餌にひっかかることがあるからなのです。そこで二重の安全対策を取るために、疑わしいリンクを発見して不正なサイトへのアクセスをブロックする信頼性の高いセキュリティソリューション を利用することをお勧めします。
また、フィッシングから身を守る方法についてのブログ記事も一読ください。様々なトラブルから身を守る、とても役立つスキルを紹介しています。
ヒント