Required Order Email Scam

情報セキュリティ研究者は、「Required Order」電子メールを調査した結果、これらのメッセージがフィッシング戦術であると最終的に判断しました。このメールは、あたかも以前の顧客からの正規の注文であるかのように細工されています。受信者は、注文の詳細を示す安全な文書を装ったフィッシング Web サイトにアクセスし、電子メール アカウントのログイン資格情報を提供するよう誘導されます。

必須注文メール詐欺は被害者に深刻な影響を与える可能性がある

スパムメールは通常、「[特定の日時] の購入注文と問い合わせ」という件名 (正確な詳細は異なる場合があります) があり、受信者がドイツのフランクフルトに発送するかどうかを問い合わせます。送信者は、2019 年に受信者に注文を行ったと虚偽の主張をし、別の購入に興味を示しています。この電子メールは、受信者に「Excel オンライン ページ」からログインして新しい注文を表示し、更新されたプロフォーマ請求書 (PI) を提供するように指示します。

ただし、これらの詐欺メールに含まれる情報はすべて完全に捏造されたものであり、正規の団体とは関係ありません。

これらのスパムメールによって宣伝されるフィッシング サイトを調査したところ、研究者らは、このサイトが「Excel クラウド接続」というラベルが付いたぼやけた Microsoft Excel スプレッドシートとして表示されることを発見しました。ページに表示されるポップアップ メッセージは、ファイルにアクセスするには電子メール資格情報を使用してサインインする必要があることをユーザーに要求します。

ユーザーがこのようなフィッシング Web サイトにログイン資格情報を入力すると、その情報は記録され、詐欺師に送信されます。このようなフィッシング戦術の被害に遭う可能性のあるリスクは、電子メール アカウントを失うことをはるかに超えています。ハイジャックされた電子メール アカウントは、リンクされたアカウントやプラットフォームへのアクセスに利用され、ユーザーを無数の危険にさらす可能性があります。

たとえば、サイバー犯罪者は、収集した ID を使用して、連絡先からの融資や寄付の要求、戦術の推進、マルウェアの配布など、さまざまな詐欺行為を実行する可能性があります。さらに、プラットフォームに保存されている機密コンテンツや機密コンテンツが侵害されると、脅迫やその他の違法行為につながる可能性があります。さらに、オンライン バンキング、送金サービス、電子商取引プラットフォーム、デジタル ウォレットなどの金融アカウントが盗まれると、不正取引や不正なオンライン購入を行うために悪用される可能性があります。

OnlineTactics のおとりとして広まるフィッシングメールをどのように認識しますか?

オンライン戦術のおとりとしてよく使用されるフィッシングメールを見分けることは、サイバー詐欺の被害者から身を守るために非常に重要です。ユーザーがフィッシングメールを特定するために採用できる重要な戦略をいくつか示します。

• 送信者の電子メール アドレスを確認する: 送信者の電子メール アドレスが正当な組織のドメインと一致するかどうかを確認します。フィッシング詐欺師は、本物の電子メール アドレスに似ていても、わずかな違いやスペルミスが含まれる偽の電子メール アドレスを使用することがよくあります。

• 挨拶文と口調を確認する: 通常、正規の組織は、パーソナライズされた電子メールで受信者に名前またはユーザー名を使用します。 「お客様各位」などの一般的な挨拶や、過度に緊急または脅迫的な言葉遣いには注意してください。これらは、恐怖や緊急性を喚起するためにフィッシングメールで使用される一般的な戦術であるためです。

• スペルおよび文法エラーを検索する: フィッシングメールには、スペルミス、文法上の誤り、またはぎこちない表現が含まれることがよくあります。正規の組織は通常、専門的な通信標準を備えており、電子メールを徹底的に校正します。

• コンテンツとリクエストを評価する: パスワード、アカウント番号、個人情報などの機密情報に対する通常とは異なるリクエストには注意してください。特に、緊急に情報を提供する必要があると電子メールで主張されている場合は注意してください。専門組織は通常、電子メールで機密情報を要求することはなく、そのような通信のために代替の安全な方法を提供します。

• リンクと添付ファイルを確認する: 電子メール内のリンクにマウスを置くと、クリックしなくても URL がプレビューされます。表示されているリンクと実際のリンク先が矛盾していないか確認してください。不明な送信者からの添付ファイルにはマルウェアや不正なスクリプトが含まれている可能性があるため、アクセスしないようにしてください。

• デザインとブランドを評価する: フィッシングメールは、説得力があるように見せるために、正規の組織のデザインとブランドを模倣することがよくあります。ただし、注意深く精査すると、電子メールが詐欺であることを示すロゴ、フォント、または書式の不一致が判明する場合があります。

• 迷惑な添付ファイルやダウンロードに注意する: 予期しない添付ファイルやダウンロードを受信した場合、特にマクロの有効化やスクリプトの実行を促す場合には注意してください。これらは、デバイスにマルウェアを配信するために使用される戦術である可能性があります。

• 代替チャネルを通じて異常なリクエストを検証する: 電子メールが電信送金や緊急のアカウント更新などの異常なアクションや情報を要求する場合は、信頼できる情報源を通じて、または検証済みの連絡先情報を使用して組織に直接連絡することで、個別に要求を検証します。

• 直感を信じてください: メールの内容がおかしいと思われる場合や、真実とは思えない場合は、危険を冒さないでください。自分の直感を信じて、セキュリティやプライバシーを侵害する可能性のある行動は控えてください。

警戒を怠らず、これらの手法を採用することで、ユーザーはフィッシングメールをよりよく認識し、オンライン戦術や詐欺から身を守ることができます。