ようこそ、バーボンハウスへ!三菱東京UFJの警告画面をコピーしたフィッシングサイト登場の巻

MUFGさんの偽サイトを注意する画面の偽サイトが出ているようです。

コピーサイトなんだから、そりゃ当たり前のことですね。

フィッシング対策協議会は10日、「三菱東京UFJ銀行」を騙るフィッシングが存在しているとして、注意喚起する文章を公開した。三菱東京UFJ銀行も注意を呼びかけている。

出典:「偽画面に注意!」が偽画面だった……「三菱東京UFJ銀行」を騙るフィッシング

論理的に偽サイトが存在するということが問題なのではなく、「東京三菱UFJ銀行からの連絡である」という信頼を逆手に取った詐欺なので、以下の対策を東京三菱UFJ銀行側が取ることを推奨したいですね。

三菱東京UFJ銀行のフィッシング対策は素晴らしいが、何故、メールにURLの記載を止めないのか

おそらく騙されたお客さんは、MUFGさんからメールだと信頼していると思います。信頼している人にURLを確認しろというのは「不可能」です。信頼してるんですから。

もし、それができるなら息子の名を語るオレオレ詐欺なんかに引っかかる人いないですって。少しでも疑っている人であれば、大丈夫なんですけどね。

何故、Google検索クローラが、そのサイトへリンクしてる外部サイトの質や数で、そのWebサイトを信頼できるものと判断できるか!?って、それがリンクの力です。

MUFGサイトのミラーリングをした詐欺サイトがこの世に存在することよりも、メールという古い情報システムを通じて、「本家の信頼」に詐欺が相乗りしていることが問題なのだと思います。つまりメールが詐欺サイトを信頼させてるんですよね。

URLで確認しろというのは難しいですね。スマートフォンのブラウザだと余計に絶望的ですよね。ブラウザに緑の帯が出てるか出てないかで判断できると思ってるんですか!?と。でも、これだとインターネットを使うなって話になりかねない。このギャップは頑張って埋めていかないと危機感あります。

こう書くと、キリがないだろってツッコミが来るとは思います。そりゃ、この対策を講じたところで、詐欺の被害者はなくなりませんよ。絶対に。銀行の名刺持って、スーツ来て家にやってくる、訪問営業詐欺みたいなものですしね。

でも「URLは一切クリックしないでください」と宣伝するなら、回避をするための難易度は下がる。「URLの文字列を確認してください」、は無理ですわ。メールには一見、正しいURLが書いてあるわけです。HTMLメールですからね。あくまでもクリックした先のURLが詐欺サイトなんです。

この違いを適切に人に伝えられますか!?

これを機会に、多大の被害者を生みながらも、TVに取り上げてもらって、国民のITリテラシーを向上させてください、としか言い様がない。

ま、それはそれでありか、ありなのかな。。。過剰に守るのも適切ではないのかもしれない。しかし、これはITリテラシーの問題ではなく、人の信頼を逆手にとったものなので、難しい問題だと思います。つまりなんでもかんでもメールに送られてくるURLは信頼しないで疑ってください、ということですよ。まぁそれは事実なのですが、明らかに狙うメリットのある銀行には、メールはもう終わってる仕組みですが、それ以外の普通のサイトにとってはメールは今でも非常に有用なマーケティング手段でして、、、あぁ、いろんなものが壊れていきそうです。

こほん。すいません。今のは運営者目線のポジショントークでした。

しかし、僕らだってバーボンハウスにはさんざん引っかかったじゃないですか。それで預金がなくなるなんて不幸すぎます。

ネットバンキングは、ITリテラシーが全くない人にとってのインターネットの入り口なので、そこでいきなり高度な知識を要求するのではなく、もっと抜本的な対策をお願いしたいです。