今メインで使っているメールアカウントは、Googleが提供しているGmailだ。
Gmailは無料で使えるし、パソコンやスマホなど、どの端末でも共通で使用することができる。
さらに毎日送られてくる大量の迷惑メールも自動的にフィルタリグしてゴミ箱に入れてくれる。
しかし、サブで使用しているメールアカウントはそうはいかない。大量の迷惑メールや詐欺メールが毎日数百件程届いている。使わなければ良いのだが、昔から使用しているメールアドレスなのでそうはいかない。
ごくたまに大事なメールが来ることがある。
一応定期的に整理しているのだが、迷惑メール等の仕分けが大変だ。
英語で書かれているメールは判別しやすいが、日本語でしかもありそうな件名だと非常にわかりずらい。amazonに楽天にイオンにセゾンに三井に・・・・本当に詐欺メールが多い。
これだけ毎日毎日送られてくるということは、騙される人がきっといると思う。
実際に詐欺メールの判別方法や、メールの中身をクリックしたらどうなるのかを書いてみたいと思う。
迷惑メールの見分け方
迷惑メールかそうでないかを判断するのは難しい。
そこで判断できそうな3つのポイントを紹介しよう。
1.送信元メールアドレスを確認する
まず簡単に確認できるのが、差出人のメールアドレスを見ることだ。
メールアドレスが差出人とまったく関係なさそうな場合は迷惑メールだと判断できる。
【例】
件名:【新幹線eチケットサービス」えきねっとアカウントの自動退会処理について
差出人:えきねっと
メールアドレス:support@amz-cvspkh.ga
この場合、差出人は「えきねっと」だが、メールアドレスを見ればドメイン名(@から右側)がamz-cvspkh.gaになっている。この時点でえきねっととは異なるドメインであることがわかる。
しかし以下のメールのように、差出人メールアドレスを偽造している場合もある。最近は偽装しているメールアドレスの方が多い。
上記はメールアドレスがeki-net.comとなっている。
eki-net.comで検索をすると、本物の「えきねっと」のサイトに繋がる。
2.本文に書いてある宛先を見る
誰に宛てたメールなのかが、具体的に書いているかも判断ポイントだ。
上記の場合、「楽天会員お客様」と書かれているため、特定の個人宛てではない。
大抵の迷惑メールの場合は、「メールアドレスのみ」、「お客様(カスタマー)」、「明記していない」のいずれかだ。
そこには具体的な本人の名前は書かれていない。本当に大事なメールならば、本人の名前くらいは書かれているはずだ。
誰宛かもわからないようなメールが来た場合は、迷惑メールと思っても良いだろう。
3.リンク先を確認する
迷惑メールの本文には必ずリンク先がある。
そこをクリックすることで外部の詐欺サイトに誘導するためだ。そこのリンク先のアドレス(URL)を確認することで詐欺サイトであるかどうかを判別できる。
■実際の例
以下、実際の迷惑メールの内容だ。
件名:【重要】楽天カードから緊急のご連絡
差出人:楽天カード株式会社
差出人メールアドレスinfo@mail.rakuten-card.co.jp
上記の内容を見たら一見本物だと思ってしまう。メールアドレスも間違いなく楽天カードからだ(実際は偽造)
内容を見てみるとカードが不正利用されている可能性があるため利用確認してほしいというもの。
「ご利用確認はこちら」をクリックすると詐欺サイトに繋がるようだ。
ここで「ご利用確認はこちら」の文字のところを右クリックして「リンクのURLをコピー」を選択。そしてテキストなどに貼り付けてみると、リンク先は「https://rebrand.ly/d1f320」となっていた。
このrebrand.lyというサイトは長いURLアドレスを短縮する機能を提供しているサイトだ。
迷惑メールは、このサイトの機能を使って、偽サイトのURLを偽造してアドレスを作成している。
本来、楽天やamazonなどはそんな小細工などせずに、自社ドメインのURLを使う。
このような小細工をしているサイトは詐欺サイトとして疑って良いだろう。
実際にamazonの迷惑メールに騙されてみた
amazonの迷惑メールに騙されてみたらどうなるのだろう。
実際に迷惑メール(実際には詐欺メールだろう)の手順通りにやってみた。
実際のamazon詐欺メールの内容
差出人のメールアドレスはamazonになっている。
そしてメール本文の宛先は何も書かれていない汎用性のある文だ。
※今回のメールは、メールソフト側が迷惑メールの可能性があることを警告してくれている。
どうやら異常なアクセスがあったために一時利用を停止しているらしい。アカウントを再開するには必要な情報を入力する必要があるようだ。まずは「支払方法を更新する」をクリックすれば良いらしい。
「支払方法を更新する」のリンク先のURL情報を確認すると「https://www.fage555.com/jp」と表示された。もうこの時点でamazonは関係ない。
※ちなみに翌日同じサイトに繋ぎに行こうとしたら「このサイトにアクセスできません」と表示された。数時間に限り繋がる捨てアドレスと思われる。
偽amazonへのログイン
「支払方法を更新する」をクリックするとログイン画面が表示される。
このログイン画面はamazonのログイン画面と変わらない作りだ。これでは騙されるのも仕方ないだろう。
ここで偽のメールアドレスとパスワードを入力。本来なら存在しないアカウントなのでエラーになるはずだが次に進めてしまう。
次に入力が必要なのが、「個人情報」と「支払いカード」
作り込みは通常のamazonサイトと変わらない。まったく違和感なく進められる。
ここも適当に入力し、「次に進む」ボタンを押下。
次に現れた画面は、クレジットカード決済3Dセキュア画面だ。これはクレジットカードの二段階認証のようなもの。
最近は3Dセキュア(本人認証サービス)が必須となるクレジットカードが多い。そのための情報収集だろう。
ここにも適当な情報を入力して送信。
この後は、「更新されました」の画面が一瞬表示され、amazon(これは本物)のサイトに飛ばされる。
これで個人情報(住所、連絡先、電話番号)とクレジットカード関連情報が、詐欺相手に渡ったことになる。騙された本人はまったく気がつかない。
翌日に再度メール本文内のリンクをクリックしてみたら、もうそのURLは存在しなかった。
迷惑メールに騙されてしまったらどうする
万一騙されてしまったらどうなるのか。
まず最初に気づくのが見に覚えのない請求だ。本当に見に覚えのない請求かどうか家族にも確認し、不正利用だと思われたらすぐにクレジットカード会社に連絡することだ。
カード会社によって補償は異なるが、例えば三井住友カードなら、カード利用停止手続きから60日間は損害を補償してくれる。
気がついたら補償期間が過ぎていた、とならないように、日頃から利用明細を確認すること大切だろう。
私の経験だが、クレジットカードが不正利用された場合、まずクレジットカード会社より電話連絡が入る。これは3回ほど経験した。
何度か知らない番号から着信があり、折り返し連絡すると商品の購入確認だった。見に覚えがないことを伝えたところ、カードが悪用されたことを知らされ、カードを停止し、新しいカードを送ってもらった。
もちろん、補償により購入代金を払うこともなかった。使われたものは3万~5万くらいの商品だった。
クレジットカードは安全ではないが、たとえ不正利用されても補償があるので安心して利用することができる。もちろん毎月の明細チェックは欠かさずにおこなっている。
