「退会確認」ボタンにご用心、ワンクリック詐欺に新たな手口
セキュアブレインは、「退会方法確認」ボタンを悪用してメールアドレスを収集しようとするワンクリック詐欺の手口に注意を呼びかけている。
「退会方法確認」ボタンに注意を――セキュアブレインは7月18日、新たなワンクリック詐欺の手口について警告を発した。
ワンクリック詐欺は2005年後半から増加してきたオンライン詐欺の一種だ。アダルトサイトなどで画像やリンクをクリックしただけで料金を請求するという手口で、IPAなどが注意を呼びかけてきた(関連記事参照)。料金請求時に、本来は個人の特定にはつながらないIPアドレスなどの情報を示し、あたかも個人情報を盗み取ったかのように見せかけてユーザーを脅し、料金の支払いを強要する手口も珍しくない。
セキュアブレインによると、こうした常套手段に加え、「解約・問い合わせに関するボタン」を悪用してユーザーのメールアドレスなどを収集する手口が登場している。
セキュアブレインが例に挙げている詐欺サイトでは、アクセスし、利用料金と年齢制限を確認するダイアログで「OK」をクリックすると、利用者の個人情報(といってもせいぜいIPアドレスとリモートホスト、アクセス日時のみ)と請求金額を示す「登録完了」画面が表示される。この登録完了画面の下部には、「退会方法を確認する」というボタンが用意されている。
しかし、このボタンをクリックすると、下記のようなポップアップ画面が表示される。
さらにこの指示に従ってここでも「OK」ボタンをクリックすると、Microsoft Outlookが起動し、メールを送信しようとする。
この結果、詐欺師が用意したアドレスにメールが自動的に送信されてしまう。ユーザーは「退会方法を確認しているだけ」と思っているのに、メールアドレス情報まで相手に把握されてしまうことになる。
セキュアブレインでは、こうした手口により「ワンクリック詐欺の成功率が上がると見られている」とし、注意が必要だとしている。
迷惑メールではしばしば、「不必要な場合はメールの返信を」「退会したければこのURLにアクセスを」という文面が見られる。しかしその通りに振る舞うと、自分のメールアドレスが確かに存在していることを相手に知らせることになり、かえって迷惑メールを増やす結果になるため、無視するのが得策だ。同様に、こうしたワンクリック詐欺サイトにアクセスし、「強制登録」された場合も、「退会」ボタンに惑わされずにそのままアクセスを中断すべきという。
関連記事
- 他人事ではない? 「ワンクリックウェア」の実態
ブロードバンド推進協議会が3月28日に開催した特別講演会「オンライン詐欺の脅威」では、ワンクリックウェアをテーマとしたパネルディスカッションが行われた。 - オンライン・ムック「あなたを狙うソーシャルエンジニアリングの脅威」
ソーシャルエンジニアリングは、人の心理などを突き、重要な情報を引き出す手法だ。古くから使われている詐術だが、常に人に依存するセキュリティの盲点を利用するためやっかいだ。あらためて人的セキュリティを考えてみよう。 - うっかりだまされてしまう8つの質問
- 知っている送信者名も過信するな――IPAが5月のセキュリティ状況を報告
- 衰えを知らない、だましの技術の進化
- サイバー犯罪の多くは技術的な攻撃ではない
- ITmedia エンタープライズ:セキュリティ(ニュース)
- ITmedia エンタープライズ:セキュリティ
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.