【歴代最強クラスの危険度】「三井住友カード」を名乗るフィッシングメールがスマートに個人情報を抜き取る様子の一部始終と防衛策を大公開！

» 【歴代最強クラスの危険度】「三井住友カード」を名乗るフィッシングメールがスマートに個人情報を抜き取る様子の一部始終と防衛策を大公開！ 特集 【歴代最強クラスの危険度】「三井住友カード」を名乗るフィッシングメールがスマートに個人情報を抜き取る様子の一部始終と防衛策を大公開！ 耕平 2020年10月14日 相変わらず、進化が止まらないフィッシングメール界隈。 以前紹介した、Amazonのフィッシングメールを始め、数々のフィッシングメールの対策を紹介したが、新たに「三井住友カード」を名乗るフィッシングメールが今、猛威を振るっている。 今回はこのフィッシングメールに潜入した結果、歴代最強クラスということが判明したので、個人情報を抜き取られるまでの一部始終と防御策をお伝えしたいと思う。 ・入り口 「フィッシング行為のキモは、入り口であるメールのクオリティによって被害の拡大が左右される」と私（耕平

[hatest]

でたらめで通るのが歴代最強なわけない。もっとすごいのは、入力した裏で本物に照会かけて通るか判断してた（ajaxでボタン押す前に照会かけてタイムラグを感じさせない）その対策であのパズルみたいなの付いたんだよ

[N0TBUT]

「こういう記事を読む人は、騙されない。」と思ってる人、騙されそう

[JORG]

ブコメ見ている人ならわかっていると思うけど、こういうのは大抵リンクに識別子が入れてあるので、遊びで見るのはお勧めしない

[ayumun]

“あなたの三井住友ニコスwebサービス” ニコスは三菱UFJグループです。ここにはツッコミ無しなのか

[greenbow]

URL見るから大丈夫と言ってる人も direct-smbc-co-jp みたいなのに引っかかるので人間の目に頼るのは危険です。

[thirty206]

一方的に送られてきたメールやショートメッセージから直には絶対飛ばないようにしてるわ。

[fukuroiri]

こういう記事を読む人は、騙されない。こういう記事に関心がなく、読もうとすらしない人が騙される。

[camellow]

このぐらいは以前から存在してるんじゃないの？実際に動作を確認した事はないからわからんが。

[togusa5]

どえらいカードだよ

[lli]

もうメールは電子署名かせめてDKIMで検証されたもの以外すべて拒否する方向にしないと駄目だと思う。個人ならOpenPGPとかでいいし。

[ys0000]

ブラウザの機能は知らなかった。証明書とドメイン確認が王道なんだろうか。

[yamadama]

会社アドレスに来てた。読んで思ったが、フィッシングかと疑うなら一回デタラメにIDとPWを入れてみる、って防衛策がありなのかもしれない？

[cinefuk]

メールのリンクを踏む習慣は、本家サイトの入り口がわかりにくい、というデザインの問題にあるかも『デタラメなIDとパスワードを入力して、ログインボタンを押したところ……なんと、普通にログインできてしまった』

[yureruu]

“ログインはメールのURLからではなく、検索エンジンやブックマーク経由、もしくはスマホアプリに限定することを推奨する。”

[primedesignworks]

「至急」「早急」はかなり NG ワードだと思う。

[adsty]

フィッシングメールの疑いを強めてリンクをクリックしない。

[sambmetta]

ほんと明日は我が身だなぁ

[f_oggy]

ちなみにログインページのパズルのセキュリティは実際のユーザで登録済みPCなら表示されないのでパッと見だけだとわからんかもしれん

[yodelx]

信頼できないサイトでお金のやり取りをしない。メールのリンクではなく、信頼出来るブックマークやアプリから接続すること。　歴代最強かどうかは知らない。

[sakamata]

数年前ゆうちょ銀行ので同様のパスワードが勝手に変更された系のフィッシングメールが危機感煽って判断力奪わせる文言で怖かった。数年間は大学1年生の情報の授業でネタにしてたなぁ。

[s_nagano]

危険が危ない

[eagleyama]

“デタラメなIDとパスワードを入力して、ログインボタンを押したところ…… なんと、普通にログインできてしまった。”

[ikurii]

フィッシングは個人情報取得が目的だから、入力情報をチェックすることはない。まずは間違った情報を入力すればよい。と思ったけど、トップブコメのようなこともあるのか。無理ゲー。

[fashi]

フィッシングサイトは不自然すぎる。むしろ外部サイトですと断り入れてサービス向上アンケートです回答者の中から抽選で500人にQUOカードあげます最後にIDとパスワード入れて送信ってサイト作ったらけっこう騙されそう

[pikopikopan]

油断するとハマりそうなので、メールから来たのは開かないようにしないとな・・

[tattyu]

“「フィッシング行為のキモは、入り口であるメールのクオリティ」”これいつも思ってる。Amazonの奴とかやる気あるんか？って思うわ。SMS詐欺が上手いのは本家もシンプルにせざるを得ない所。区別つかん。

[sweetseason00kyontomato]

自分にも来た。

[sekiryo]

そんなんHTMLでメール受け取る方が悪いだろ。全部スマホでやってんの？安全に金かけられない人ですね…企業からログイン促すメールはブックマークで行けばいいでしょ。メールのリンク押す方がおかしい。

[tikuwa_ore]

リンクにカーソル合わせてURL見たら一発で偽物と判るが、実際にはURLすら知らない情弱が引っかかる詐欺なのよね。ウイルス作ってばら撒いてる連中もそうだけど、国家レベルで最高刑にすればいいのに何でしないんだろ。

[doksensei]

アドレスバーに危険て書いてありますが、、、

[onesplat]

フィッシングだけは本当に対策が無くて辛いよな。パスワードは漏れるものとして考えないといけない。サービス側は多要素認証を導入するべきだしユーザー側はパスマネ使うべき

[soraironikki]

飛ばされた先のURLをよく見ないとね。大体スペルが変だったり、似せているようで偽物って分かるから。

[uefi]

仕事柄、こういうのに騙されてしまった偉い人の尻拭いをする羽目になるので、勘弁してください！

[gabill]

昨日、配達を19時に依頼していた。まだ時間があると思い18時45分にコンビニに寄ったら、会計中に「お荷物のお届けに上がりましたが～」のSMSが届いた。「え、早過ぎでしょ？」とURLに飛んだらフィッシングだった…。

[password1234]

自分は、EV証明書でアドレスバーに緑色で組織名を出すことには意味がある派 (完璧とは言わないがメリットがデメリットを上回ってた派)なので、Googleの判断は間違ってたと今でも思っている

[duckt]

こういう情報は質に関わらずとにかくどんどん出して欲しい。始終自分に注意喚起してないといつかうっかり踏んでしまいそう。実際Amazonのやつは危なかった。

[kyukyunyorituryo]

アドレスの偽装が多くて、ヘッダーを確認しないとわからないことがある。

[splaut]

アクセスがあったかどうかで送りつけた先のメルアドが生きてるかどうかチェックするので遊びでもアクセスしない方がいいらしい。/https://over80.hatenadiary.jp/entry/20080327/1206625822

[vuy]

デタラメにカード番号いれないほうがいいのでは？どうしても試すなら 0000 0000 0000 0000 とか 4111 1111 1111 1111 とか。

[Lagenaria]

歴代最強はオーバーだけど見た目の完成度は高いよね。 / 取引先を装って添付ファイルを送りつけてくるタイプはかなり危険