難しすぎるGoogleのフィッシングクイズを使い、どの部分に注目し、どうすれば回避できたか具体的に突き詰めていく。
そして、「フィッシング(偽サイト)を直前で悟る能力」の習得を押し付ける。
最初は悟れなくてもいずれ屈強な考えが身につき、体が拒絶し直前でストッパーがかかる。
フィッシングクイズの実践でレベル測定
さっそく、Googleのフィッシングクイズをやってもらう。
名前とメールアドレスは例に出されるだけなので、完全偽物適当でOKだ。全8問が終わったらこの記事に戻ってもらい、「どうすれば全問正解に持っていけるのか」具体的な作戦で回避していく。
メアドは「yarisugi@example.com」をコピペでも可。
これ以上先に読み進めると、ネタバレになっちゃうよ!
根本から抹殺するために、やらないこと一覧
「何問正解したのか」は関係なく、自分自身が完璧か思えなかったのなら満足していない。そして、一番重要なのがURL(ドメイン)判別というのが痛いほどわかっただろう。ここではそのURL判別をわかりやすく、クイズに出された問題のさらに根本にも触れる。
- ステップ.1流出済みのメールアドレスは使わない
とてつもない面倒と引き換えに、メールからのフィッシングを根こそぎ抹殺。実質最強だが、恐ろしく面倒。
- ステップ.2メールに記載されているURLを押さない
そもそも押さなきゃいいし、先に検索して怪しいか調べる。
- ステップ.3メール内に表示されている入力欄に入力しない
怪しすぎて大多数には問題ないはず。
- ステップ.4メールに記載されているURLで案内された入力欄に入力しない
本物かどうかわからないなら、事前に持っている本物のURLから飛べばいい。
- ステップ.5あらゆる添付ファイルは触らない
自分で頼んだ以外は触らない。頼んだのなら、アンチウイルスソフトで検査する。
流出済みのメールアドレスは使わない
流出済みのメールアドレスを使用していない私に「フィッシング詐欺迷惑メールは1通すらこない」ので、かなりの効果を期待して良い。
というわけで、メールでのフィッシング詐欺対策は変更するだけで終わる。
この作業はハードルが高すぎるから、流出しているかこのまま確認して、未来の自分に投げつけるといいよ(っ’-‘)╮ =͟͟͞͞ブォン
Firefoxのサービスで流出したかを確認できるので、試しに入れてみよう。
※Firefoxサービスへのメアド記入が怖いと感じる方へ:気のせい。
通常は「So far, so good(ここまでは順調ですね)」と言われるだけで終わるが、どこかの会社のマークがでてきたら流出済みだ。
慣れないと激ムズ!URL判別法
- https://www.yahoo.co.jp/
- https://chiebukuro.yahoo.co.jp/
- https://excesssecurity.com/
Yahoo!トップ・Yahoo知恵袋・当サイトのURLを例に確認してみよう。
上記リンクに黄色線を引いたが、ドットの後ろ部分が「トップレベルドメイン」だ。
この「トップレベルドメインの前にある文字列」でサイトを見分けるため、https://excesssecurity.com/だとしたら、「.com」より前にある「excesssecurity」で安全なサイトなのかを覚えておけば良い(要記憶)。
Yahooならyahoo.co.jpの部分、当サイトならexcesssecurity.comがセットで本物。
だが、フィッシングクイズの7問目は巧妙に作られており、URL左側しか見ていない場合、後半にある悪質な親の部分を見逃す。
そう、一番前に「.com」があるからその後が安全とは限らず、後ろのトップレベルドメインが優先される。
「https://google.com/amp/example.com/y7u8ewlr」だったとしたら、頭にGoogleと入っていても、「example.com」は別のURLであるため、Googleに偽装したサイトである……。と思ったら、そうも限らないようで非常に詳しい情報をコメント欄で教えてもらったので必読。
このように、「.com」・「.xyz」・「.net」など、ドットの後ろにあるものが重要であり、長いURLでも後ろに近いトップレベルドメインの存在確認を、怠ってはならない。
スパムとかは値段の安い適当なトップレベルドメインを使うから、最後まで確認しないと、私みたいに7問目だけ間違えることになるよ!
もちろん、1文字だけご丁寧に変更していたり、「l1oO–__」といったわかりにくい文字を使用していたりする(1問目がそう)。
さらに、aguse.jp: ウェブ調査やVirusTotalでURLを確認するといい。
ブラックリスト登録が追いつかない金融・仮想通貨業界などは、上記URL判別サイトで何の役にもたたない可能性があるため(ブラックリスト未登録)、本気で目視確認しよう。
忘れたころに復習チャンス
今までの情報を叩き込んだら、再度フィッシングクイズをしてみよう。
終わったら、偽サイトにアクセスした場合の対処や一流の対策ツールも紹介するので出戻り推奨。
メアドも再度置いておく「yarisugi@example.com」。
おかしいなと思ったら
「おかしい」という反応自体が経験を元にした拒絶反応なので、さきほどのaguse.jp: ウェブ調査やVirusTotalでURL確認したり、テクニックを使ってさらに検証していく。
適当に情報を入力
「適当に入力」→「エラー画面が一切でない」となった場合、完全にフィッシング詐欺だ。
これは、適当に入力した情報が犯人側からすれば判別できないためで、何も起こらなかった場合は偽サイトだと判別してしまって良い。
とりあえずおかしいと思ったら偽情報を入力して、1回はテストする癖を付けよう。
2段階認証を設定していた場合は「入力項目が現れなかったらフィッシング詐欺」と気づけるので、ひどいパスワードが64桁になるほどに強度を上げられる2段階認証は設定しておこう。
一番現実的なフィッシング詐欺対策だぞ。
セキュリティ意識の向上
パスワード管理ソフトの自動入力が反応しないため偽サイトだとわかったり、ソフトに登録してある本物URLから飛ぶと、自動的にフィッシング詐欺を防げる。
パスワード管理ソフト導入はかなりのセキュリティ向上かつ、意識の高い人は全員入れている常識ソフトなため、とりあえず入れておくだけで一気に安全になるぞ。
偽情報の取扱は中級者以上からだが、一応このようなテクニックも存在する。
コメント
やりすぎセキュリティのぷっぷ様
いつもブログ拝見しています。
ねとふりと申します。
このブログで紹介されているBitwardenと、Authyを様々なアプリ等で有効活用させていただいてます。
よって、今回の被害が極小化できております。心から感謝申し上げます。m(_ _)m
今年の1月に、Authyの質問時にも丁寧に回答して頂き、その際もありがとうございました。
このフィッシング対策の記事も見ていたのに、、、。
実は、昨日朝一番、Amazonを騙るフィッシング詐欺に引っかかってしまいました。そこで質問があります。
よろしくお願いします。
■漏洩した情報(送信済み)
①AmazonのID(メールアドレス)
②Amazonのログインパスワード
③氏名、住所、郵便番号、携帯電話番号、生年月日
※尚、クレジットカード情報は入力もしていませんし、送信もしていません(流石にオカシイとこの時点で気づいたので、途中で離脱しました)
■フィッシング当日に対処したこと
①Amazonのログインパスワードの変更
→フィッシングに気づいた後で、直ぐに正規のAmazonアプリにログインできたので、直ちにパスワード変更を完了しました。
②Amazonカスタマーセンターへの問い合わせ
→正式にパスワード変更完了していること、フィッシング後に僕の端末以外からログインされた形跡がないこと、当然に変な注文履歴等がないことを確認しました。
③クレジットカード会社への問い合わせ
→フィッシングサイトにて、クレジットカード番号等を全く入力していないので、クレジットカードに関しては停止(再発行)する必要がないことを確認しました。
→また、現状不審なクレジットカード決済はないことを確認しました。
■質問
①AmazonのID(Gメールアドレス)は変更すべきですか?
→Amazonカスタマーセンター的には、パスワード変更済みですし、2段階認証設定もされているし、僕の端末以外からのログイン履歴もないことから、現状のIDのままでも問題ないと伺ってます。
②漏れたGメールアドレス(様々なアプリのログインIDとなっています)は、廃止した方が良いですか?
→尚、やりすぎセキュリティさんのファイヤーフォックスのデータ侵害検索で、僕のGメールをしましたが、データ侵害形跡はゼロ(ありません)でした。
→尚、様々なアプリのIDとなっていますが、当然にパスワードはアプリごとに別々の強固なパスワードを設定しています。
③漏れた氏名、住所、郵便番号、携帯電話番号、生年月日は、もうどうしようもないと思われますが、悪用されるとしたら、どんな被害が考えられますか?また、現状被害は無いのですが、警察のフィッシング110番に通報した方が良いですか?
■最後に
上記の数多くの質問かつ答えにくい質問もあるかと存じます。すみません。
お時間のある時に、ご回答いただけると幸いです。
よろしくお願い致します。
m(_ _)m
お久しぶりです!
フィッシング未遂?というか片足を突っ込んでしまった、悪い意味で前科持ちのような感じなので(言い方)、迷惑メールが来る可能性のある流出したメールアドレスは使わない方が、将来的に良いのは確かです。
ただ、とにかく変更に時間がかかるため、Amazonや住所を入力しそうなショッピング系だけ新メールアドレス、その他は面倒なのでそのままにするのが落とし所としておすすめ。
実際大昔の漏洩済みメールアドレス、私はどうでもいいサービスで未だに使ってます∩(・∀・∩
※すっごい迷惑メールが来るYahooメール。
※どうでもいいサービス=メール内容が来ても全く困らない、突然のアカウント閉鎖申請でも動じないサービスのこと。
通常であれば変更する必要はないです!
が、今回はフィッシング未遂ということなので、上記の回答を推奨します。
本当は処したほうがいいんでしょうけど(処さないと悪人が野放し → ずっと未対策ということになる)、時間と余裕とお金のどれか一つすらないなら断念しちゃってOKだと思います。
「適当に考えたありそうな被害一覧」
基本はこれで乗り切れます。
これらはお金持ちになると抜群にフットワークが軽くなるので、私はお金持ちを目指しています。
補足:Gmailはすべてのアカウントをくっつけて管理することが可能です。そのため、新アカウントに旧アカウントに届くメールを同じ管理画面で閲覧できます。
ぷっぷさんこんにちは!
少し前に友人からフィッシングサイトへのURLがSMSに来た と報告してきたので、私自身が調査してみたんです…(ブラウザはプライバシー重視のBromite)
そうしたらAmazonらしいページに来たので、嘘情報(自分のアカウントでもない偽物のもの)をいれてみたら、見事に反応(笑)
そして、生年月日名前、住所、国など細かな情報を書けとありましたので、偽名(ヨシフ・スターリン)と入れて、国はソ連と入れてみたらまたもや反応しましてww
その後クレジットカードの入力画面になり、またもや嘘情報を入れましたがそこだけ反応せず()
フィッシングサイトって面白い()ですねwww
クレジットカード入力画面で嘘情報が使えないの知らなかった! あとで収集したものを確認するのかと思ってた。
ところで、フィッシングURLに識別みたいなのが付いてたら、「友人の電話番号は生きているからいっぱいフィッシング送ろう」ってなって、増えちゃうなんてことはないですか?(゚~゚o)
こんにちは。お世話になります。
最近シャープのマスクの当選通知のメールが届いたのですが、送信元が「cocorostore-info@sharp.co.jp crmstyle.com 経由」と表示されていました。
「cocorostore-info@sharp.co.jp crmstyle.com 経由」をネットで検索すると、フィッシングメールである旨の記述がいくつか出てくるため、シャープのマスクの問い合わせ窓口をネット検索して「mask-order-question@sharp.co.jp」というアドレスに質問メールをしました。
結果、返信は翌日にあり「crmstyle.comは当選メールを送信する際の委託先」とのことだったのですが、メールの発送をわざわざ他社に委託するようなことはあるのでしょうか?
どうぞよろしくお願いいたします。
私のメールを5個位確認してみたら、2個位あったので普通っぽいですね(゚~゚o)
文字通り委託先なだけだと思います。
多分内容一緒の大量送信系でよく使われる模様。
ただのメールサーバーっぽいですね。
シャープ委託先仕様メール配信機能 Synergy! 日本でのメール配信に最適な機能を網羅|シナジーマーケティング株式会社
ところで、メールの送信元とかっていくらでも偽装できたような……
基本はURL判別だけで乗り切れると思います。
AndroidもChromeOSみたいな基本的にブラウザを使うような感じになってほしいですね〜
日本製アプリは出来悪いからネットバンクのアプリとか入れようと思わないし
日本製アプリを入れる気になれないのはホント同意です! ChromeOS仕様はどっちでもいいかな~(゚~゚o)
多分適応しちゃう……というより、ChromeOS仕様にした際のメリットを私がわかってなーい(*゚▽゚)
ネットバンクアプリの独自なのは、困るを通り越して迷惑かも。
現に住信SBIネット銀行の「ログインする前にこのアプリでロック解除してね!じゃないとログインできないよ!」アプリを使ってるけど、
久しぶりにログインする際独自アプリの存在を忘れるし、「2段階認証ってGoogleのじゃダメなの?」という感じだし、選択肢がほしいー(゚´Д`゚)゚。
住信の愚痴になっちゃってるけど、ログイン失敗した際に「アプリのロック解除忘れてない?」的な表示を入れればまだマシなのにー(´ε`;)ブ-
ネットバンクとか証券会社の仕様は謎ですよね〜
2要素認証でわざわざ出来の悪い自社アプリ入れさせられるという(笑)
むしろセキュリティホール作ってる感しかないですね
ああ、あとSMS認証ですね。
音声通話契約してない人も増えてるんだから汎用の認証システム使わせろ!
そうだそうだ(;`O´)o
優れたツールがあるのに自社にこだわるのはんたーい!
優れたツールのベンダーロックイン歓迎(屮・∀・)屮
お世話になります。
ちょっとお聞きしますが、パソコンやスマホにセキュリティソフトを入れようかと思っているのですが、何かオススメはありますでしょうか?
そちらがパソコンやスマホに使ってらっしゃるセキュリティソフトは何でしょうか?
つ、ついに来てしまった……セキュリティサイトなのにセキュリティソフト(アンチウイルスソフト)紹介していない問題(´・ω・`)
現在調査中で後回しにしていますが(まだ貧乏なの)、「軽さで決めるのが正義」だと悟りました。
事実、昔と違いフリーソフトをあれもこれもと入れていたときと比べるとマルウェア(ウイルス)と一切出会わないし、最近でいうWindows10標準についているWindows Defenderでおそらく十分です。
というわけで、私が「現状」オススメするなら
という、一般常識として検知率を重要視していない、邪道な順位になります。
私自身はCOMODOを使用してひもじく利用していますが、お金持ちになり次第PCmaticにする予定です。
やっぱり有料による不安払拭効果・プロ厳選安心感がほしい(*´ω`*)
PCMaticはいわゆるホワイトリスト方式で、事実上最強になる可能性を秘めていますが、アフィリエイトが抹殺されてさらに無名に……
上記順位に加わっていないのは、上記はメジャーなブラックリスト方式で、別枠のような存在だからです。
次にスマホ(Android)ですが、適当にAvastを入れています。こちらはおそらく不要(検出したことがない)。
Googleは以前要らないといっていたし(結構昔なので状況が違うかも)、だいたい「ちょっとの利便性に対してアプリをインストールした方」が狙われているだけであって、その程度を我慢する私には関係がないようです。
とりあえずGoogleアプリだけとは言わず、「大手のアプリしか使わない」状態なだけでもまず遭遇しません。
が、ホイホイ入れてしまう癖があるならば絶対に必要。
というわけで、スマホだと
AvastやAVGなど、PCで実績があるもの適当という感じかな~(゚~゚o)スマホのみの実績は、「必然的に歴史が浅いのではないか」というひどい憶測で避けています。
ちなみに、PC版セキュリティソフト次第でスマホも使えるようですので、購入の際は確認してね!