フィッシングメールに☆ご用心 ~イーバンク銀行編~

みなさんは、架空請求の督促状が届いたことはありますか?
micはあります。
バンバン来てました。

おめーどんだけ個人情報流出してんだよってくらい来てました。
独り暮らしの時はひどかったな~。
覚えてるだけで7~8通は来てたし。

架空請求がニュースでも取りざたされ
わりとメジャーになってしまうと急にその動きは沈静化するものです。
オレオレ詐欺と一緒ですね。
みんなもリテラシーついて騙されなくなりますからね。

Eメールを使っていても同様の手口は存在します。
そう、フィッシングメールとか。

フィッシングメール:

 金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを詐取する詐欺。「釣り」を意味する「fishing」が語源だが、偽装の手法が洗練されている(sophisticated)ことから「phishing」と綴るようになったとする説がある。

 代表的な手口は以下のとおり。メールの送信者名を金融機関の窓口などのアドレスにしたメールを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページへのリンクが載っている。リンクをクリックするとその金融機関の正規のWebサイトと、個人情報入力用のポップアップウィンドウが表示される。メインウィンドウに表示されるサイトは「本物」で、ポップアップページは「偽者」である。本物を見て安心したユーザがポップアップに表示された入力フォームに暗証番号やパスワード、クレジットカード番号などの秘密を入力・送信すると、犯人に情報が送信される。

 URLに使用される特殊な書式を利用して、あたかも本物のドメインにリンクしているかのように見せたり、ポップアップウィンドウのアドレスバーを非表示にするなど非常に巧妙な手口を利用しており、「釣られる」被害者が続出している。

 対応策としては、送信者欄を信用しない、フォームの送受信にSSLが利用されているか確認する、メールに示された連絡方法(リンクなど)以外の正規のものと確認できている電話番号やURLなどから案内が本物かどうかを確認する、などが挙げられる。

e-words
実は mic
フィッシングメールって見たことなかったんですよ。
しかし、ついに来ました。


イーバンク銀行を語る、フィッシングメールです。

内容転載

イーバンク銀行をご利用いただきありがとうございます。

近日、イーバンク口座による被害が確認されております。
被害防止の為、ご利用頂いておりますユーザーIDにてログイン確認(口座状況確認)
をお願いします。

2006年7月10日以降に初めてログインを行なわれる方は、「初期ユーザID※」とログイン
パスワードを入力し、画面の説明にしたがって「ユーザID」、「ログインパスワード」、
「暗証番号」の設定を行なってください。

一週間以内に確認頂けなかった場合、お客様のご利用口座を一時的にご利用停止と
させて頂きます。

安全の為下記セキュリティサイトからログイン確認をお願い致します。

↓↓↓↓↓↓↓↓↓
URL http://ebankmarketing.kilo.jp/
↑↑↑↑↑↑↑↑↑

ユーザIDを失念した場合は、イーバンク銀行ホームページ右上の「ログイン」ボ
タンからログイン画面を開いてください。「ユーザIDを忘れた場合はこちら」リンク
からユーザIDの初期化が行なえます。

**********************************************************************
イーバンクのサービス内容に関するご質問は、イーバンク銀行ホームページ
より、E-Mailでお問い合わせください。

イーバンク銀行
http://www.ebank.co.jp
**********************************************************************

おかしいところ
1.差出人が<bankingpia@goo.jp>とgooメール
2.宛先が@yahoo.co.jpと、イーバンク銀行に登録した覚えのないEメール
3.http://ebankmarketingk.kilo.jp/という不自然なアドレスww

そして4番目

↓↓↓↓↓↓↓↓↓
URL http://ebankmarketing.kilo.jp/
↑↑↑↑↑↑↑↑↑

↑正規のメールで、これはねーわwwww

これがなかった場合
たいていの人は差出人アドレスなんてよく見ないでしょうし
そのままそのまま騙されちゃうかもしれませんね…。
ツメが甘かった!

とりあえず、その怪しいリンク先に飛んでみました。
すると、このような画面に

ユーザID、ログインパスワード、暗証番号を記入させるボックスがあります。
…暗証番号?

ちなみに正規サイトはこちら

おー
そっくりだwwww
当たり前だけど。

でもリンク先が甘い。
「セキュリティボードを使用」できないようですし、
「ユーザIDを忘れた場合はこちら」をクリックすると404エラーw

イーバンク銀行はジャパンネット銀行と異なり
自動生成キーなんてものはなく
ユーザID+ログインパスワードでログインできますし
取引は暗証番号を入れれば全て行うことができます。
この3つをぶっこ抜かれたら、お金を移動させられ放題というわけですね。

怖ーっ

メインバンクにイーバンク銀行を使っていたりすると被害甚大ですね。
イーバンク銀行のサイトにも情報が載っていました。

リンクへの誘導の仕方がスパムサイトくさいのはともかく
イーバンク銀行を語ったフィッシングメールにはくれぐれもご注意を!