SMSを悪用してフィッシングサイトへ誘導し、情報を盗む「スミッシング」に注意です。金融機関などを装ったメッセージをSMSで送り、リンク先のURLをクリックしてクレジットカード情報などを入力するページに誘導。そこで自ら個人情報を入力してしまうと…。スミッシングの手口を見ていきます。

スミッシングの被害が急増している

警察庁によると「スミッシング」は2019年9月に急増し、不正送金の被害額が9月だけで4億2,600万円に上ったといわれます。スミッシングとは、「SMSフィッシング(SMS phishing)」の略。SMSを用いたフィッシング詐欺のことです。

スミッシングが厄介なのは、リンク先のサイトが巧妙に作られていることに加え、そもそもSMSには一定の信用度があることでしょう。特にiPhoneにはSMSの専用アプリが備わり、メッセージの開封率は非常に高いといわれます。

そして最近、正規のメールのスレッドの中に偽のメッセージを紛れ込ませるという手口が多数報告されました。SMSは、名前が同じ送信元なら同じスレッドに仕分けされ、表示される仕様になっています。そのため、送信元の名前さえ同じであれば本物のメールに偽メールを紛れ込ませられるのです。

スミッシングは短縮URLで気づかない

これは早急に対策をされましたが、そもそもSMSの発信元を偽装するのは、技術的にそんなに難しいことではありません。「SMSGANG」「Globfone」といったSMS送信サービスを使えば、容易に送信元の情報を作れてしまいます。

企業名が送信元に入っているだけで、信頼性はかなり高くなるのが実状。名前は携帯電話キャリアか「~ Pay」が最近のスミッシングのトレンドのようです。

そして、Webサービスから、フィッシングサイトの短縮リンクを貼りSMSを送信。「ハッキングされた」などと情報の更新を求め、クレジットカード情報を盗むのです。スミッシングで利用されるSMSは文字数に制限があるため、短縮URLが当たり前なので怪しいサイトに飛ばされても気づかれにくいといいます。

【関連リンク】
迷惑メールのお金を受け取って系に返信してみる
匿名メールで正体を明かさずにメール送信する
USBに挿すだけでバックドアが作れるデバイス
Tor Browserを使って完全匿名で情報収集する
ネットストーカーの情報収集テクを知っておく

情報提供元:ラジオライフ
記事名:「偽SMSでクレジット情報「スミッシング」の手口