直近ではイオンカードの不正利用被害とその対応のまずさが話題になっている。大手はCMに配慮したのかあまり大きく報道しないが、少額決済ではオフライン決済の手法を取るために被害にあったことがバレにくく、挙げ句未使用カードでの被害まで出る始末。そもそもの原因はユーザー側でその手のメールに引っかかっているのが原因であろうが、あとはカード番号やらセキュリティコードなどを被害者のカードのデータ解析で攻略されている可能性がかなり高い。
数少ない被害を報じた記事(IT Media)
「イオンカード」の不正利用が急増した根本原因 なぜここまで返金対応が遅れているのか
https://www.itmedia.co.jp/news/articles/2410/10/news156.html
ただ、だいぶ使い古されてきたのでそろそろ新しい手が出るかと思ったら、やはり出てきた。
そして最近は本物のメルマガからデータを取得したと思われる偽装メールが届き始めた。一見すると正規のメールに見えるが、リンク先やら送信元が明らかに違う(下図参照、左下に注目)。
つまりメールに記載されたURLは基本的に信用してはいけないということになる。
一般的なフィッシング注意喚起サイトでは、SSL暗号化の鍵マークに注目!って言ってるところもあるが、鍵マークがあっても安心してはいけない。
厄介なのはリンク先のフィッシングサイトでもSSL証明書を取得しているため、一見すると騙される可能性があること。
件の偽メールのソースコードをよく見るとリンク先*情報抜き取り用ページのURLの頭にはhttpsがついている。
鍵があったら信用できるわけではない。
カード情報を抜き取るためなら彼らは何でもやるのである。
自分が購読しているメルマガといえども、油断はできない。
