LinkedIn からの購入依頼詐欺

デジタル化が進む世界では、警戒することがオンライン戦術に対する最善の防御策です。サイバー犯罪者は、詐欺を駆使して疑いを持たないユーザーを操り、個人情報、認証情報、さらには金銭さえも引き渡させようと、常に戦術を洗練させています。そのような詐欺の 1 つが、LinkedIn の「あなたから購入を依頼」詐欺です。これは、正当なビジネス問い合わせを装って機密データを収集するフィッシング詐欺です。この詐欺の仕組みを理解し、警告サインを認識することは、潜在的な被害から身を守るために不可欠です。

LinkedIn の「あなたから購入を要求する」詐欺とは何ですか?

この戦術は、LinkedIn のビジネス問い合わせを装った詐欺メールを中心に展開されます。メールは、エリザベス J ムーアという人物からのものだと主張し、調達、マーケティング、商品化を担当するエグゼクティブ セールス ディレクターであると偽っています。メッセージには、製品の購入に興味があり、指定されたメール アドレスにカタログを送信するよう要求する旨が記載されています。

詐欺師は、メールをより正当なものに見せるために、青い「返信」ボタンをメールに挿入し、ユーザーが LinkedIn から直接返信しているように見せかけます。しかし、このボタンをクリックしても受信者は LinkedIn に移動せず、個人情報を盗むために設計された偽の Web サイトにリダイレクトされます。

この戦術がどのように情報を収集するか

ユーザーが偽のリンクをクリックすると、Gmail、Yahoo Mail、Outlook などの一般的なメール プロバイダーのログイン ポータルを模倣したフィッシング ページが表示されます。この不正なページは本物のように見えるように作成されており、疑いを持たない個人を騙してメールの認証情報を入力させます。

ユーザーがこの策略に騙されてログイン情報を入力すると、攻撃者はユーザーのメール アカウントに完全にアクセスできるようになります。メール アカウントを制御できれば、詐欺師は次のことが可能になります。

• 個人の電子メールを読み取り、機密情報を抽出します。
• 被害者になりすまして友人、家族、または仕事上の知り合いを騙します。
• 他のオンライン アカウントのパスワードをリセットし、銀行、ソーシャル メディア、仕事関連のプラットフォームへのさらなるアクセスを取得しようとします。
• 侵害された電子メールを使用して、さらにフィッシング メールを送信したり、有害なソフトウェアを配布したりします。
• 収集した認証情報を、地下フォーラムやダークウェブ上の他のサイバー犯罪者に販売します。

場合によっては、攻撃者は乗っ取ったアカウントを悪用してビジネスメール詐欺 (BEC) の手口を仕掛けます。これらの手口では、攻撃者は信頼できる同僚やサプライヤーを装い、不正に支払いや会社の機密データを要求します。

疑わしいリンクをクリックすることのリスク

認証情報の盗難以外にも、このようなフィッシング詐欺はしばしば追加のリスクをもたらします。詐欺サイトの中には、パスワードを収集するだけでなく、ユーザーのデバイスに安全でないソフトウェアを自動的にダウンロードするものもあります。これには次のようなものが含まれます。

• キーストロークを秘密裏に記録し、パスワード、財務の詳細、プライベートなメッセージを収集するキーロガー。
• トロイの木馬は、ハッカーが感染したシステムにリモートアクセスできるようにします。
• ファイルを暗号化し、解除のために金銭を要求するランサムウェア。

フィッシング サイトがすぐにマルウェアをインストールしない場合でも、攻撃者は後から有害な添付ファイルを含むフォローアップ メッセージを送信する可能性があります。これらの添付ファイルは、通常、正規の文書のように見えますが、開くと悪意のあるコマンドを実行する隠しスクリプトが含まれています。

フィッシングメールを見分けて回避する方法

フィッシング詐欺を認識することは、それを回避する第一歩です。LinkedIn の「あなたから購入を依頼」メールのような詐欺の危険信号には、次のようなものがあります。

• 一般的な挨拶– 正当な LinkedIn メッセージでは通常、ユーザーの名前で呼びかけます。「拝啓」のようなあいまいな書き出しは疑わしいものになります。
• 異常なリクエスト– 機密情報、ログイン資格情報、または緊急の応答を要求するメールには注意して対処する必要があります。
• 不一致の電子メール アドレス– 詐欺師は、公式のアドレスに似ているものの、小さなタイプミスやランダムな文字が含まれているアドレスを使用することがよくあります。
• 不適切な文法と書式– 多くのフィッシング メールには、ぎこちない言い回し、スペルの誤り、書式の不一致が含まれています。
• 予期しないリンクまたは添付ファイル- リンクにマウスを合わせて (クリックせずに)、リンク先をプレビューします。LinkedIn の公式 Web サイトにつながらない場合は、詐欺である可能性があります。

安全を確保するには、常に公式チャネルを通じてリクエストを確認してください。LinkedIn からの疑わしい問い合わせを受け取った場合は、ブラウザから直接 LinkedIn にアクセスし、メッセージを確認してください。埋め込まれたメール リンクをクリックすることは避け、サービス プロバイダーに属さない Web サイトでログイン資格情報を入力しないでください。

最後に

LinkedIn の「あなたから購入を依頼」詐欺は、機密情報を収集するために設計された欺瞞的なフィッシング攻撃です。サイバー犯罪者は、ビジネスに関する問い合わせを装ってユーザーを誘導し、認証情報を明らかにさせます。これにより、個人情報の盗難、金融詐欺、またはオンライン アカウントへの不正アクセスが発生する可能性があります。

自分自身を守るために、予期しないメールを常に精査し、クリックする前にリンクを確認し、アカウントで多要素認証 (MFA) を有効にしてください。サイバー犯罪者は手口を常に変化させていますが、情報を入手して注意を怠らなければ、ユーザーはオンライン戦術の被害に遭うリスクを大幅に減らすことができます。