Amazonプライムデー2022が全世界で同時に7月12日(火)から13日(水)に開催される。これは、サイバー攻撃者にとって、新しい フィッシング攻撃を展開するのに絶好の機会である。これまで、アマゾン関連のフィッシングなどの詐欺行為について多数の質問を受けている。
ここで、気を付けるべきことを情報共有して、Amazonプライムデー2022に備えておこう。
1.Amazon関連で良く使われる/人気のある詐欺(Amazonなりすまし、その他の犯罪行為、詐欺??)にはどんなものがあるか?
Amazonブランドを利用したフィッシングメールが上位を占めていますが、Amazonを名乗るテキストメッセージや電話を利用した詐欺も報告されている。これらの詐欺は、Amazonが膨大な数の顧客を抱えているため、Amazonを発信元とするバラマキ型の攻撃を行えば、アカウントを持つ誰かが引っかかる確率が高いという事実を利用している。これらの詐欺の多くは、ユーザー名とパスワードを盗む偽のログイン画面にユーザーを引き込み、ユーザーからログイン情報を盗み出すように仕組まれている。攻撃者は、盗み出したログイン情報を使って、アカウントにアクセスできれば、アカウントに保存されているクレジットカード情報を使って簡単に買い物ができるようになる。こうなれば、即日配送可能な商品の購入から、転売可能なギフトカードの購入まで、金銭や商品を盗むチャンスは限りなく生まれる。一度ログイン情報を手に入れれば、このあとで、攻撃者が良く使う手は、すぐにパスワードを変更し、正当なアカウント所有者をアカウントから締め出す。こうすれば、買い物をする時間を稼ぐことができる。また、商品の受け取りでは、アマゾンが提供する高度な配達追跡機能を使って、配達の場所を地図上に表示することができる。これは、詐欺師にとっては、配達された荷物を素早く横取りし、ドライバーが荷物を手渡すのを外で待つ機会さえも与える。
2.何に気を付ければよいか?
アカウントや配送に関しての問題や通知は、ユーザーがAmazonのWebサイトにログインしたときに、必ずアカウント内に表示される。メールに記載されたリンクをたどるよりも、AmazonのWebサイトに直接ログインして問題を解決する方が安全である。 このような詐欺は、被害者によく考えずに手続きをさせるために、脅しの手口を使うことが多い。突然、Amazonからメールや電話、テキストメッセージを受け取った時は、まずは、「疑う」ことである。緊急性や脅し文句を巧みに使って誘導するようなものであれば、ほぼフィッシング詐欺である。「疑う」ことは、基本である。 この「疑う」基本に加えて、自分のアカウントに多要素認証を有効にすることでアカウントの保護を強化することができる。 これで、アカウントにログインするために、パスワードに加えて、テキストメッセージで送信されるか、スマートフォンのアプリで生成されるコードの入力を必要とさせることができる。
3.このようなAmazonの詐欺に遭ったら、どう対処すべきか?
メールやテキストメッセージの場合は、削除するのが最も賢明な方法である。電話であれば、AmazonのWebサイトにアクセスして、確認してみると伝えるだけでよい。これは、どのような問題でも同様で、巧みな誘導に引っかからないことである。さらに、AmazonのWebサイトのカスタマーサービスの番号に直接電話する旨を伝え、内線番号と名前を尋ねるのも有効である。Amazonのカスタマーサービス部門からの正当な電話であれば、内線番号と名前を返答するはずである。 詐欺師は緊急性や脅し文句を巧みに使って強引な誘導してくるが、落ち着いて、「疑う」基本で対応することが、第一である。
最後に、フィッシング攻撃から皆さんを守るために作成されたソーシャルエンジニアリング攻撃を見抜くための危険な兆候(レッドフラグ)を1ページまとめた次の資料を参考していだだきたい。
原典:Erich Kron著 2022年6月23日発信 https://blog.knowbe4.com/amazon-prime-day-cybersecurity-tips
