宅配便業者の不在『スミッシング(SMS)詐欺』に要注意

宅配便業者からのSMSと思えば…偽装アプリのダウンロードへの誘導だった…

KNNポール神田です。

ウェブサイトに誘導する「フィッシング詐欺」から、スマートフォンのSMS詐欺(SMS phishing)の「スミッシング詐欺(Smishing)」が増えている。

(2018年)1月11日ごろから、携帯電話、スマートフォンなどで使用されるテキストメッセージ(ショートメッセージサービス、SMS)による不審な「通知」の拡散が確認されています。同内容の SMS の拡散は昨年のクリスマスを控えた12月24日前後にも確認されており、繰り返しの攻撃であると言えます。

受信者の注意を引くために「配送物」の不在通知を偽装しているようです。SMS で配送物の不在通知を送ることは一般的ではないかもしれません、しかし、配送物のお届け先の電話番号を記入することは一般的であるため、そこで携帯電話番号を確認した配送業者が SMS を送ってきたのかも、という受信者の誤解を狙った手口と言えます。

出典:実例で学ぶネットの危険:「通知 お客様宛にお荷物のお届きました」

ますます巧妙化する『スマッシング(SMS)詐欺』

出典:トレンドマイクロ ウェブサイト
出典:トレンドマイクロ ウェブサイト

宅配ドライバーさんは、こちらの電話番号がわかっているから不在時に、荷物の到着をSMSで知らせてくれるんだ…と関心してURLをクリックした人は完全にアウト!

もう、何を信じていいのやらの時代へ突入している。

文面の日本語が多少おかしくても、SMSでのタイプミスなんてよくあるハナシだ。

さらに、知らない電話番号からのSMSであったとしても宅配業者さんからは、電話がかかってくることがよくある…。

とにかく、SMSで届くURLは、押す前に考えるという「SMS時代の新・習慣」が必要だ。

フィッシング詐欺やスミッシング詐欺という言葉よりも、「URLはできるだけクリックしない」。企業名の入っていない、「短縮URLを見たら、騙されると思え」…くらいの新習慣が必要だ。特に、ITに詳しくない、スマートフォンに不慣れな人ほど、特に用心深くいただきたい。

URLをクリックするとどうなるのか?

偽装アプリをダウンロードさせようとする 出典:トレンドマイクロウェブサイト
偽装アプリをダウンロードさせようとする 出典:トレンドマイクロウェブサイト

実際にはクリックをすると即アウトではなく、偽装アプリをダウンロードさせようとする。

そこで賢いスマートフォンは、いくつか警告を出してくれる。しかしだ…、その警告の意味が、よくわからないというケースがよくある。そう、言葉がホントむずかしいのだ。こっちは、いち早く不在時の荷物を受取りたい気持ちで一杯だからついつい押してしまう…。

冗長なスマホの警告文 出典:トレンドマイクロ
冗長なスマホの警告文 出典:トレンドマイクロ

押してしまうと…なんだか長い文章が登場した…。

提供元不明のアプリ」とあるが…、それが何を意味しているのか? シニアの人にはわかりにくい。「正体不明のアプリ」ということだ。くどくど書かれていても、視線は、「今回のみインストールを許可」「OK」しか目に入らない…。

そう、長ったらしい文章は、まさか「警告」とは思えないのだ。ウェブサービスによくある「利用規約」と同じで、押さないと次へ進めないので次へ押すという経験だけを頼りにしてしまう。

もっと、『大きな黒いドクロのマーク』を出すとか、『赤い大きなXマーク』を大げさに出すとかできないものか?

気づかれない警告文なんてちっとも意味がないのだ。

アプリをインストールすると…これだけ情報が盗まれる

そして、宅配の偽装アプリをダウンロードしてしまうと、これだけの情報が盗まれ、最終的にはスマートフォンごと、乗っ取られるのだ…。宅配便屋さんはまったく関係ないからよけいに腹立たしい。

携帯電話番号

端末 ID

使用 SDK バージョン

製造者情報

ブルートゥース上の表示名

自身の感染日時

自身の端末管理者権限の有無

画面ロックの有無

国内の主要キャリア(ソフトバンク、ドコモ、AU)製アプリのインストール有無

画面をロックし、パスワードを「778877」にリセットする

端末の管理者権限を得る

「連絡先」の情報を収集し、外部にアップロードする

SMS や MMS の内容を取得し、外部にアップロードする

他の不正アプリをダウンロードする

既にインストールされている正規アプリをアンインストールし、他の不正アプリと置き換える

音量とミュートの操作

ファイルの削除

出典:実例で学ぶネットの危険:「通知 お客様宛にお荷物のお届きました」

これだけ便利になったスマートフォンだけど、新たなアクションを起こす時は、必ず「急がばまわれ」でないと、余計なトラブルでもっともっと時間を消耗してしまう。

そして、自分のアカウントが乗っ取られると、知人にまで「SMS詐欺」であなたの連絡先を利用して、あなたのふりをして悪行三昧となる。そうなった時の後始末は本当に大変だ。

とにかく、「SMSのURLはクリックしない」を「新・習慣」にしておいてほしい。わからないシニアの人ほど特にだ。