偽のメールだとは気付かず、マルウェアに感染してしまったり、ログイン情報やクレジットカード情報を入力してしまったりする人が後を絶たない。その一方で、偽物を警戒するあまり本物を偽物扱いしてしまったり、真偽が分からずに困惑したりといったケースも散見する。
前掲の記事(下欄参照)では、偽メールにだまされないようにする基本事項を述べたが、大量にばらまかれる偽物の中に、時々本物が紛れて来るので始末が悪い。中には、見逃すと後悔しそうな大切なものもある。
■本物の「アラート」を見逃すな――真偽を確かめる方法
主要なサービスでは、第三者のログインや設定変更などの重要な操作が行われたことを通知する「アラート機能」を提供している。不審な動きをいち早く察知できる便利な機能だが、これを真似る偽物も横行している。偽サイトに誘導してログインさせたり、本人確認や再登録と称してクレジットカード情報を入力させたりと、フィッシングの常套手段でもあるのだ。本物の文面を使った差出人を偽装したメールとなると、見分けるのは難しく、面倒で無視したくなってしまう気持ちもわかる。しかしちょっと待ってほしい、その中に本物が混ざっていたとしたら、早急に対処しておかなければいけないかもしれない。実際、こうした予兆を見逃してしまったため、後日アカウントを完全に乗っ取られ悪用されてしまったという事例もある。
真偽の判断がつかない場合には、実際にサイトに行って確認することをお勧めする。「ログインされた」というのであればログイン履歴を、「変更された」というのであれば変更箇所を確認する。「アカウントをロックした」という偽メールも多いが、実際にログインしてみれば、真偽を確かめられる。その際、以下に注意していただきたい。
「記載されたリンク」はクリックしない:確認時には、記載されたリンクをクリックせず、ブックマークなどから公式サイトに行けば安全だ。やむをえずリンクをクリックする場合には、リンク先が正当性を必ず確認する。
「記載されたリンク」の「本当のリンク先」を確認する:実際に開くリンク先は、記載されている見た目のリンクとは異なることがあるので注意が必要だ。パソコンのアプリの場合は、リンクの上にマウスカーソルを移動したり、マウスの右ボタンでクリックしたりすると、本当のリンク先の表示やコピーが行える。スマートフォンのアプリの場合は、リンクを長押しすると真のリンク先の表示やコピーが行える。
■本物だった当選メール
つい先日、偽メールや偽サイトを捜している最中に、珍しい事例に遭遇した。詐欺メールとして投稿されていたギフトカードの当選メールに、本物らしさが漂っていたのだ。「当選しました」もまた、さまざまな不正行為に使われることの多い誘導手段だが、投稿されていたメールの文面は、本物または本物をコピーした偽物という、それだけでは真偽の分からないレベルだった。メールをキャプチャした画像だったので、リンク先の正当性も確認できない。そこで、当選メールに記載されたギフトカードの番号を公式サイトで確認することにした。結果は、正真正銘1万円分の本物のギフトカード番号だった(その後本人に返却)。
デパートなどの実店舗のギフトカードと違い、オンラインサービスのギフトカードは、この番号だけで額面分の金額を渡すことができる。コンビニで売られているものも体裁こそカードだが、意味を持つのはそこに記載された番号だ。未使用の本物の番号であれば、額面分の金額が使えるので、試してみればすぐわかる。当選メールは詐欺という思い込みが身を守ることも多いが、時には損をしてしまうこともある。
(2017/05/26 ネットセキュリティニュース)
【関連記事:ネットセキュリティニュース】
・さまざまな件名で届く「バンキングマルウェア」メール――感染しないチェック法(2017/05/26)