ボイスフィッシング攻撃

いろいろな手を考えるものです。
今回確認されている手法では、アマゾンの注文通知になりすまして、攻撃者は被害者に電話をかけてクレジットカードの詳細を取得しようとします。

こんな風に進みます。

  • 犯罪者は、高額な請求金額を記載した虚偽の注文確認メールを送信します
  • 受信者は身に覚えのないなようである上に、高額な注文情報のため、何とかしようとします。
  • メールには、アマゾンの正しいURLが記載されています。
  • メールには、アマゾンに電話して注文を確認することができると記載されています。
  • この電話番号は、アマゾンの電話番号ではありません。犯罪者の電話番号です。
  • 犯罪者の電話番号にメール受信者が電話すると、誰も応答しません。
    この時点でメールアドレスと関連する電話番号を犯罪者は取得完了します。
  • 犯罪者は入手したメール受信者の電話番号に電話をかけます。
  • 電話で、注文をキャンセルするためには、クレジットカード番号とCVV番号が必要だと伝えます。

落ち着いて考えれば、注文のキャンセルにクレジットカード番号など必要ありませんし、ましてやCVV番号が必要なわけがありません。
そもそもとしてアマゾンの注文履歴を見れば、そのような注文がないことも確認できるでしょう。
そして電話でないと注文のキャンセルができないというのもおかしな話です。

この例では、メールアドレスのみを知られてしまっている状態から、最終的には電話番号とクレジットカード番号とCVV番号まで取得されてしまいます。
これらの情報がそろった場合、悪用することは簡単だと考えられます。

この方法の場合、URLを検査する方式でのセキュリティ対策は役に立ちそうにありません。

電話することが必要な場合であったとしても、利用する電話番号は正規の方法で入手するようにすることでこういった被害にあうことは防ぐことができそうです。
面倒な世の中になってきていると感じます。

参考記事(外部リンク):Voice phishing attack spoofs Amazon to steal credit card
information

www.techrepublic.com/article/voice-phishing-attack-spoofs-amazon-to-steal-credit-card-information/