Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

クレカ明細サービス装うフィッシング攻撃 - 「信頼性高めるため」などと本文中URLからのアクセス促す

セディナが提供するクレジットカード利用者向けサービス「OMC Plus」を装うフィッシング攻撃が報告されている。フィッシング対策協議会が注意を呼びかけた。

20181211_ap_001.jpg
誘導先のフィッシングサイト(画像:フィ対協)

「重要:必ずお読みください」といった件名で同サービスを装ったメールが出回っているもの。

メールの本文では、第三者によるアクセスを確認し、登録IDを変更したなどと説明。

メールでは、送信者や本文に記載されたURLを容易に偽装できるため、正規サイトへアクセスする場合はメールに記載されたリンクからはアクセスせず、あらかじめ登録しておいたブックマークなどを利用することなどがフィッシング対策として推奨されることも多い。

しかし、今回確認されたフィッシングメールでは、「信頼性、正当性を高めるため」などともっともらしく説明し、メール本文内に記載されたURLより偽サイトへアクセスするよう求めていた。

誘導先のフィッシングサイトでは、クレジットカードの番号、有効期限、セキュリティコードのほか、氏名や生年月日、電話番号、メールアドレスなどを入力させようとしていた。

またフィッシングサイトは、正規サイトよりデザインなどを盗用し、酷似したページを作成したものと見られ、「新規会員登録」などとメールの内容とつじつまがあわない記載も見られる。

同協議会では、12月10日の時点でフィッシングサイトの稼働を確認しており、閉鎖に向けてJPCERTコーディネーションセンターへ調査を依頼。類似したフィッシング攻撃に注意するよう呼びかけている。

(Security NEXT - 2018/12/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

「偽楽天」からフィッシングメールに注意 - 不正ログインされたと不安煽る
東京五輪の類似ドメインが約1000件 - 正規サイトか慎重に確認を
「本人認証サービス開始」などとだますフィッシング - ゆうちょ銀を偽装
「MUFGカード」利用者狙うフィッシング - 11ドメインで展開
「気軽さ」と「不安」で誘導するフィッシング攻撃
「NTTグループカード」の利用者狙うフィッシング攻撃 - 不正ログイン被害の警告を偽装
「MyEtherWallet」の利用者狙うフィッシング攻撃が発生
不在通知装う「スミッシング」、ますます悪質化
職員にフィッシング攻撃、個人情報流出の可能性 - NHK
偽メルカリに注意 - 4月23日の「振込申請ルール変更」に便乗