スタッフブログ

Blog

HOME > Blog > フィッシング詐欺に引っ掛かってみた

フィッシング詐欺に引っ掛かってみた

2016-07-29 | やってみた

最近は、色々な方から「モリちゃん!このメール、詐欺?」と聞かれることも増えました。

 

ところがですね~、メールに乗ってやってくる詐欺にも色々あり、なかなかパッと見せられても判断できないこともありますし、言葉で説明してもなかなか伝わらなかったりしますんで、今回はちょうどアップルを騙ったフィッシング詐欺メールが来たので、サクっと引っ掛かってみました。

 

一緒に引っ掛かり体験してみてください。

 

パソコンやネットに自信が無い方は、決してマネはしないでください。

 

まず、アップル?からメールが来ました

件名が「Your account will be locked : 2019**」(あなたのアカウントはロックされます)というもので、差出人がアップルを騙ったno_reply@apple.com」と、思いっきり本物志向です。

 

このように、

メールアドレスで詐欺メールかを判断することは出来ません

よく覚えておいてくださいね!

 

で、本文は真っ白ですね、これは私のメールソフトが「テキストメール」しか表示しない設定にしてあるためで、多くの方は以下のようなメール本文が出ます。

 

 

まぁ、ヘンな日本語なので気づくとは思いますが、酒飲んでたりすると、「なんじゃ~?」とか言ってクリックしてしまうこともありますね。

 

これはHTMLメールといって、見た目ではリンク先が分からないようにすることができるものなので、クリックする前にソースコードからリンク先を確認してみましょう。

 

リンク先がわかりました。

に飛ばされます。

 

一見、アップルのアドレスっぽいですが、このURLのドメインは

となり、まったくアップルとは関係ないサイトに飛ばされるようです。

 

ドメインの読み方は弊社コラムの「フィッシング詐欺ってイマイチわかってない人へ」をご覧ください。フィッシング詐欺を見破るコツが書いてあります。

 

引っ掛かる前の準備

クリックする前に念のためいろいろ準備をしておきます。

ブラウザはFireFoxを使用します。

 

自分の接続元が相手に知られるのもイヤなので、偽装します。

イメージとしては下図のように、一度海外のサーバーを中継して、フィッシング詐欺ページへ接続します。これによって、自分の身元が海外のIPに偽装できます。

 

FireFoxの拡張機能で、以下の「FireX Proxy」というアドオンをインストールしました。

 

ページを開いた途端にヘンなモノに感染しないよう、JavaScriptを一部止めます。

 

これも拡張機能で「noScript」というアドオンをインストール

 

これで、準備OKです。

 

いざ、詐欺サイト!

うひょ~~、出ました!詐欺サイト!

 

ちなみに本物の画面は

 

 

全く区別がつきませんね

 

さて、引っ掛かってみましょう。

テキトーなメールアドレスを入力してみます。

 

(実在しないドメインというのは確認済みです。)

 

 

すると、

もっともらしい画面が出てきました。

架空のメールアドレスとテキトーなパスワードなのに・・・

2016.08.04追記
IntarnetWathで「AppleIDを搾取されるのは危険」という主旨の記事がありました。
本物のサイトは上記のように実在しないメアドで入力すると、エラーが返ってきます。

逆に考えると、フィッシング詐欺かどうか見分けがつかない時は、いちど敢えて適当なメールアドレスでサインインしてもいいかもしれませんね。

 

「次の」?に進んでみましょう。

なぜか請求先住所を聞かれます。

登録してあるはずなんで、この画面はあり得ないでしょ。

ぶつぶつ言わず、テキトーな架空の名前と実在しない住所で登録します。

で、次。

 

カード番号を入力しろと言ってきます。

犯人からしたらここが最大の山場なんでしょう。

ネット決済用プリカの残高0円のカード番号で登録してみました。

すると、以下の画面。

残高がないのばバレるかな?と思いきや

おお!確認できたらしいです!

ちなみに名前は「保毛尾田保毛男」で登録しましたが・・・

 

数秒すると以下のページに飛ばされます。

 

 

アドレスを確認する限り、これは本物のサイトのようです。

 

まぁ、なんとなくそれっぽい流れになってますので、最初の時点で詐欺と気づかなければ、そのまま引っ掛かってしまうかもしれません。

 

ぜひ犯人には残高0円のプリペイドカードで楽しんでいただきたいと思います。

 

これを見破る方法は「ドメインを読む」ことが重要です。

くどいようですが、フィッシング詐欺の見破り方は、こちらのページで解説していますので、ぜひ読んでみてください。
2021.1.25 追記
フィッシング詐欺メールの中でも、SMSに来るものを「スミッシング詐欺」と言います。
以下の動画はスミッシング詐欺によって、2段階認証も破られる危険があるというものです。
しかも、VRになってます。
でも、ちょっと分かりにくいです(笑)
 
そして、カフェの奥にいる帽子の人は私かもしれません。

とにかくね、まず「知っている」ことが需要なんす。

 

 



ページトップ