Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

金融機関装うSMSに注意 - 「パスワードが失効」と騙して偽サイトへ

携帯電話やスマートフォンなどのSMS(ショートメッセージサービス)によって金融機関の偽サイトへ誘導し、オンラインバンキングのアカウント情報を騙し取るフィッシング攻撃が5月初旬ごろより発生しているとして、セキュリティ機関が注意を呼びかけている。

20150616_ap_001.jpg 三菱東京UFJ銀行の事例(画像:フィッシング対策協議会)

今回明らかになったフィッシングは、「パスワードが失効する」などとユーザーの不安を煽るショートメッセージを送り付け、記載したURLからフィッシングサイトへ誘導する手口。誘導先の偽サイトでオンラインバンキングのアカウント情報などが詐取されるおそれがある。

すでに「三井住友銀行」「三菱東京UFJ銀行」を装った手口が確認されており、フィッシング対策協議会では、攻撃対象とする金融機関が今後拡大するおそれもあると指摘。注意を呼びかけた。

スマートフォンなどは、パソコンと比較して画面が小さく、URLの視認しづらいほか、サービスによっては普段の正規URLと異なる短縮URLを利用するケースも少なくない。こうした環境に慣れ親しんだユーザーの隙を狙い、攻撃者がソーシャルエンジニアリングを行っている可能性もある。

普段受け取らない発信元からのショートメッセージには特に注意が必要だ。また今回のオンラインバンキングを装ったケースとは異なるが、見慣れた友人からのメッセージであっても、乗っ取られた端末からSMSが送信されるケースもあり、ショートメッセージに記載されたURLへアクセスする場合は注意する必要がある。

オンラインバンキングを利用する際は、あらかじめ登録したブックマークを活用したり、SSL証明書の内容を確認するなど、アクセスしたサイトが正規サイトであるか確認した上で利用することが被害を防ぐ上で重要となる。

(Security NEXT - 2015/06/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

「BIGLOBE」に見せかけ、請求メールに見せかけたフィッシング攻撃
Twitterアカウント狙うフィッシング攻撃が増加 - 「Twitter Blue」に便乗
ETC利用者狙うフィッシング - QRコードで誘導
請求案内に見せかけた「So-net」を装うフィッシング
サイトが改ざん被害、送受信メールも流出の可能性 - システム開発会社
楽天装うフィッシング - 「注文を出荷できません」などと不安煽る
「Citrix ADC」「Citrix Gateway」のVPN機能に深刻な脆弱性 - 早急に更新を
「ゆうちょ銀」装うフィッシングに注意 - 20種類以上の件名バリエーション
10月のフィッシングURL、約44%減 - 報告数も減少
ソニー銀装うフィッシング攻撃に注意 - 取引目的の定期確認を偽装