事例
Brozycki氏が行った分析の詳細を解説する前に、フィッシング詐欺の基本について説明しておいた方がよいだろう。フィッシング詐欺は2つの基本要素で構成されている。その基本要素とは「要求」と「応答」である。
要求:被害者候補の元に電子メールを送り届ける。この電子メールは、被害者候補が取引している会社(通常は金融機関)から送られたかのような見た目となっており、たった1つの目的のみを意図した要求を含んでいる。その目的とは被害者候補からの応答を得るというものだ。以下はそういった要求の例である(Cadzow TECHが公開している文面を元にしている)。
Citibankのお客様へ
この電子メールは、お客様の電子メールアドレスを確認させていただくためにCitibankからお送りしているものです。確認作業を完了させるには、以下のリンクをクリックしていただき、オープンした小さなウィンドウにお客様のCitibank ATM/デビットカードの番号、およびATMでご使用の暗証番号(PINコード)を入力していただく必要があります。
この作業はお客様のセキュリティレベルの向上を目的としたものであり、電子メールにアクセスできないお客様を確認させていただくうえで必要なものとなっております。
電子メールアドレスの確認、および銀行口座へのアクセスを行うには、以下のリンクをクリックしてください。
Citibankをご利用いただき、ありがとうございます。
応答:被害者は電子メール中のリンクをクリックするかしないかを決定することになる。被害者がリンクをクリックした場合、以下のようなフィッシング詐欺用のウェブページがオープンし、次なる要求が表示される(画像はCadzow TECHのご厚意によるもの)。
企業ロゴのすぐ下には「電子メールアドレスを確認するため、お客様のログイン情報を入力後、Submitボタンを押してください」と記述されている。
上の図の通り、詐欺師は重要な金融情報を盗み取ろうとしている。ここで被害者が応答してしまうと、詐欺師の勝ちとなるわけだ。(未確認ではあるものの)筆者の情報筋によると、かなりの数のCitibank顧客がこのフィッシング詐欺に引っかかったようだ。では、Brozycki氏の調査内容を見てみよう。
