我々は、米アマゾン・ドットコムの利用者を狙ったスパム/フィッシング攻撃の存在に気付いた。攻撃は2種類あるが、取りたてて変わった手口ではない。スパムメールはぱっと見た限り怪しくないが、アマゾンを装ったリンクの終わりは「<domain/index.php?pid=14>」といった記述だった。メールに記載されたリンクは、すべて同じ攻撃用ページを指していた。
スパムメールのなかには、安価な家庭用品に関するアマゾンからの注文確認メールを装い、「今回のご注文について、お支払い代金はクレジットカードの利用明細書に記載されます」といったメッセージが書かれている。不用心な人なら大抵は、当然のようにメールを本物だと信じるだろう。詐欺師はメールにいくつもリンクを仕込んでおり、クリックさせようとする。リンクには「アカウントサービスを利用すると、オンラインで注文内容を確認できます」または「注文内容の確認/変更は24時間いつでもオンラインで行えます。アカウントサービスをご利用下さい」とある。だまされた人がリンクをクリックすると、攻撃用ページにリダイレクトされる(Webページをアクセスする際には、メール内のリンクをクリックするよりも、WebブラウザーのアドレスバーにURLを入力した方が絶対に安全だ)。
攻撃の第2段階で、ユーザーは使っているメールアドレスが変わったという理由で新しいアドレスの確認を求められる。このリンクには「以下のリンクをクリックし、新しいメールアドレスをご確認下さい」とあるが、絶対にクリックしてはならない。こうした入力フォームのあるWebサイトは、見た目だけだと本物かどうか判断しにくい場合がある。
アマゾンはセキュリティ啓蒙ページに「当社がお客様のアマゾン用パスワードやクレジットカード、銀行口座などの情報を、メールや電話で伺ったり確認したりすることはありません」と書き、注意を呼びかけている。
信用できない相手からメッセージ受け取った場合、そのメッセージを開いたり、記載されているリンクをクリックしたりしてはならない。我々は、フィッシング詐欺を避けるのに役立つヒントをWebサイトで紹介している。フィッシングに関する報告書「Anti-Phishing Remedies for Institutions and Consumers」(PDF形式)も参考になるだろう。
Copyrights (C) 2010 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,Phishing for Amazon Users」でお読みいただけます。
