新手の「パーソナライズフィッシング」に警告

パーソナライズフィッシングは、盗んだ個人情報を使って、被害者を名指しで狙い撃ちする新しい手口だ。

[ITmedia]

　米セキュリティ企業Cyotaは5月16日、「パーソナライズフィッシング」と呼ぶ新たなフィッシングメール攻撃について警告を発した。この攻撃では、詐欺師が実際に盗まれた情報を使って口座保有者を名指しで誘い込み、個人情報を引き出す。

　同社のAnti-Fraud Command Center（AFCC）は、フィッシング対策サービスの一部顧客に対し、このような攻撃が行われたことを検出した。AFCCはすぐに詐欺犯のサイトをブロックし、停止させたという。

　通常のフィッシング攻撃は大量のメールを送り、できるだけいい結果が得られることを期待するものだが、パーソナライズフィッシングは特定の銀行の口座保有者を名指しで狙い撃ちにすると同社は説明している。詐欺犯は電子メールをより本物らしく見せかけ、標的に誤った安心感を与えるために、口座保有者に関する盗まれた情報（氏名、電子メールアドレス、正確な口座番号、その他の銀行情報）を利用する。

　この攻撃の狙いは、既に持っている個人情報を、ATMの暗証番号やクレジットカードのCVV番号など詐欺犯がまだ入手していない情報で強化することにある。これらの情報がそろえば、氏名と口座番号だけのセットよりも、オンライン詐欺コミュニティーでの再販価値がずっと高くなる。

　「パーソナライズフィッシングは、口座保有者が攻撃に応えてしまう可能性を劇的に高める。成功すれば、詐欺師は広範な詐欺を実行できる貴重な情報を手に入れる」とCyotaの共同創設者兼マーケティング担当上級副社長アミール・オーラッド氏。「これは組織的な2段階の詐欺で、高い成功率を維持するだろう」

　Cyotaは、銀行やオンライン販売業者から個人情報や講座情報を要求する電子メールを受け取ったら、メールに記されたリンクをクリックせずに、直接そのサイトにアクセスして要求を確認するようアドバイスしている。