先日「 短縮URLを展開してフィッシング詐欺を見破る!「事例」三井住友カードサービスの緊急連絡 」という情報を公開していますが、改めてトラブルに合わないヒントとして別視点で掲載。
フィッシング詐欺メールかどうか、見分ける手段として「正規サービスURL」からのメールかどうかという点で差出人のメールアドレスを確認することは基本ですが、最近は差出人のアドレスが偽装されているケースも多く、見分けが困難。
「イオン」っぽいこのメールや
「三井住友カード」っぽいこれ。
「JR東日本」っぽいメールなど、差出人メールアドレスとしては「(偽装されており、表面的には)正しく見えます」
これが偽装メールということは別の調べ方「 偽装メール?【最終警告】JCBカード からの緊急の連絡。SPFレコードに注目してみる 」でも可能ですが、一般的にはあまり馴染みがないと思われますので「もっと簡単に見分ける方法」を。
メールに共通して言えることは「とりあえず緊急なので文章中の【リンク】から手続きをしてください」という内容であることがテンプレ。
正規サービスの様に差出人メールアドレスや、署名、問い合わせ先が偽装されてメールは届きますが、このリンク先(情報を不正取得しようとするサイト)は偽装ができないようで、「似たようなドメイン(URL)」「リンクタグで表面上ごまかす」ということはあっても実際にリンクしているURLを確認すればトラブルは防げることでしょう。
本文中のリンク先に注目
HTML形式(文字に装飾あり)で読み込んだ場合は以下のように表示されていても、
テキスト形式で読み込めばリンク先はまるわかり。(正規サービスURLではなく短縮URL)
短縮URL「rebrand.ly」を使ったフィッシングメールが多い
「短縮URL」とは、長いURLを短いURLに変換してくれるサービスを用いて生成されたURLで、Twitterで共有されたリンクを自動的に短縮する「t.co」、YOUTUBEで共有の際の短縮URL「youtu.be」、古くは「Bitly」での「bit.ly」などが有名なところ。
レイアウトが崩れない、一定の信頼を得る(逆もあり)というようなメリットがありますが、この記事で紹介している例では「フィッシングサイトURLを表示しなくてもいい」「任意にURLを無効にできる」という不正取得者側のメリットもありそう。
ちなみにこれらはすべて「フィッシング詐欺メール」。
「rebrand.ly」自体は「rebrandly.com」が提供する正規サービスですが、フィッシングサイトへの誘導手段として使われているのも確か。
なんだか緊急のメールが来た、大丈夫なの?と心配な場合は「本文中のリンク先を確認しましょう」
COMMENT
私も同様な迷惑メールに非常に困っています。
最近はメールソフトのフィルタリングでは対応しきれなくなっているのか、
たまに受信トレイ
私も同様な迷惑メールに非常に困っています。
最近はメールソフトのフィルタリングでは対応しきれなくなっているのか、
たまに受信トレイに入ってしまうことがあり、
自分で独自でスパム フィルタリング ルールを作ってしのいでいます。
基本的に「本文に “rebrand.ly” の文字列を含むメール = 迷惑メール」
のフィルタリングで殆ど対処できます。
また、メールのソースコードから分かりますが、
spf=…fail もしくは dkim, dmarc=none になっている点で
フィッシング詐欺メールと判断できます。(PC)