「自分は騙されない」という人ほど注意、思わずクリックしてしまう「フィッシング詐欺」メールの巧妙手口
これらが犯罪者の手に渡ることで、なりすましやカードの不正利用につながる。企業システムのアカウント情報であれば、そこから本人になりすまして会社のデータを盗んだり、マルウェアを仕掛けたりが可能になる。 フィッシングメールを送ってくる攻撃者は、入手した情報を自分たちで使うとは限らない。アカウント情報やカード番号・暗証番号は、アンダーグラウンドマーケットで商品として取引される(関連記事)。 では実際、フィッシングメールの被害を受けたらどうすればいいか。
よほど特殊な例でなければ、フィッシングメールを受信しただけ、開いただけで情報が抜き取られたり、マルウェアに感染することはない。受信・開封した時点で気がつけば、慌てずメールを無視することだ。会社や組織に報告の規定があればそれに従う。 もし、フィッシングメールとは気づかずに、文面内のリンクをクリックしてしまったとする。ここで気がついてサイトから離脱できれば、まだ直接の被害は起きていない。 だが、クリックした先で何らかの情報(たいていの画面はID・パスワード・暗証番号・そのほか個人情報の入力画面)を入力してしまった場合は、入力した情報が攻撃者の手に渡ったことになる。
ここで、気がついたらすみやかに当該サービスのパスワードを変更する。類似のパスワードを使っているサイト、同じパスワードを使っているサイトがあれば、これらも変更する。 重要度の高いサイト、よく使うサイトはすべて変更するくらいでもよい。会社や組織ならば、おそらくインシデントとして報告しなければならないはずだ。 それでも気づかなかった場合は、おそらくカードの不正利用の連絡を受けたり、身に覚えのない支払い通知が届いたり、自分のアカウントにログインできなくなったり、実際の被害が発生してから気づくことになる。
ただし、ログインアカウントに2要素認証・多要素認証(2FA・MFA)を設定していれば、なりすましが試行された段階で、メールやSMSに通知が届く。 ここで「自分のログインでない」とログインを拒否できれば、自分へのなりすましやカードの不正利用を阻止できる。IDやパスワードは漏れているので、パスワードの変更は必須である。 ■2要素認証と立ち止まって考える習慣を 大前提として、フィッシングメール攻撃を止めることはできない。これは犯罪が根絶できないのと同じだ。したがって、フィッシングメール攻撃の被害にあわない対策が重要となる。