リンク先を確認したのに騙されるフィッシング詐欺の被害が報告されています。

フィッシング詐欺とは、メールなどに記載したリンク（URL）でユーザーを偽サイト（フィッシングサイト）に誘導し、個人情報などを盗むネット詐欺です。

「リンクをクリックする際には、リンク先のドメイン名を確かめているので自分は被害に遭わない」と自信を持っている人は多いと思います。

確かに、クリック前にリンク先を確認するのはフィッシング詐欺対策の基本です。

しかし、その基本が通用しない巧みなフィッシング詐欺キャンペーンが出現しています！！！

 

 

報告されたフィッシング詐欺キャンペーンではオープンリダイレクトが悪用されています。

オープンリダイレクトとは、意図しない転送（リダイレクト）を発生させるwebサイト（webアプリケーション）の脆弱性です。

ウェブサイトによっては、リンクをクリックしたユーザーをまず特定のページ（ランディングページ）に誘導し、

その後別のページにリダイレクトします。この場合、ユーザーや環境によって変えられるように、リダイレクト先を変数で指定することがあります。

外部の任意のURLをリダイレクト先に指定できてしまうのがオープンリダイレクトの脆弱性です。

簡単に言うと、リンクを確かめて「このドメインなら大丈夫」と思ったユーザーがクリックすると
攻撃者が用意した別のログインページにリダイレクトされ、フィッシング詐欺にうってつけの脆弱性と言えます。

 

 

◆被害に遭わないために・・・

リンク先を調べることに加えて、リンクが送られてきたメールの内容や状況も考慮することが重要です。

今回のフィッシング詐欺キャンペーンは「オープンリダイレクト」「CAPTCHA認証」「メールアドレスの表示」「パスワードの2回入力」と、様々な工夫を凝らしています。もはや「不審なリンクはクリックしない」という対策だけでは防げなくなっています。

例えば、全く覚えのないzoomミーティングの招待なら、リンクが正しそうでもクリックしない、不安であれば
送信者に問い合わせるくらいの慎重さも必要です。

 

情報処理推進機構（IPA）は21年8月末、リンクのクリックが発端となるセキュリティー被害の相談が増えているとして

「自分が要求していない場面で突然リンクが送られてきて、それをクリックすることで被害の発生につながります。

したがって、そのような突然送られてくるリンクは基本的にクリックをしないというのが最も有効な対策になると考えます」

と呼びかけています。

 

似たような記事はこちら