詐欺Webサイトとは
詐欺Webサイトとは、ユーザーを騙して詐欺や悪意のある攻撃を行うために使用される違法なインターネットWebサイトを指します。詐欺師はインターネットの匿名性を悪用し、各種の偽装工作によって本当の身元や意図を隠しています。偽装工作として、虚偽のセキュリティ警告やプレゼント、その他の詐欺的な手法を駆使して、あたかも合法であるかのような印象を与えることが挙げられます。
インターネットは多くの有用な目的のために利用されていますが、Web上のすべてが見かけ通りに利用されているとは限りません。注目を集めるために競い合う何百万もの合法的なWebサイトの中には、数多くの不正な目的のために開設されたWebサイトもあります。これらのWebサイトでは、個人情報の窃取からクレジットカード詐欺まで、あらゆる詐欺の手口が試行されています。
詐欺Webサイトの仕組み
詐欺Webサイトの手口は実に幅広く、誤解を招くような情報の掲載から、金銭的なやり取りで荒唐無稽な報酬を約束するものまであります。最終的な目的はほとんどいつも同じで、個人情報や金銭に関する情報を明け渡させることです。
このようなWebサイトは、独立したWebサイトであったり、ポップアップであったり、クリックジャッキングによって正規のWebサイトに不正にオーバーレイされたものであったりします。どのような体裁で表示されようとも、これらのサイトはユーザーを引き付け、誤解させる目的で体系的に活動しています。
詐欺Webサイトを使用する攻撃者がユーザーを騙す目的で、次の手順がよく使用されます:
- おとり:攻撃者は、各種の配信チャネルを通じてインターネットユーザーをWebサイトに誘導します。
- セキュリティ侵害:ユーザーは、自分の情報やデバイスが攻撃者にさらけ出してしまうような行為を行います。
- 実行:攻撃者はユーザーの脆弱性を攻撃し、個人的な利益のためにユーザーの個人情報を不正に使用したり、デバイスを悪意のあるソフトウェアに感染させて各種の用途に悪用したりします。
もっと複雑な仕組みもあるかもしれませんが、ほとんどはこの3つの基本的な段階に集約されます。
詐欺Webサイトは、ソーシャルメディア、メール、テキストメッセージなど、多くのコミュニケーションチャネルを通じてインターネットユーザーを誘導します。検索エンジンの最適化(SEO)によって検索結果が操作され、悪意のあるサイトが上位に表示される場合もあります。
魅力的な勧誘や脅迫的な警告メッセージを表示することで、ユーザーはこうした手口に引っかかりやすくなります。ほとんどの詐欺Webサイトは、心理的な弱みにつけ込むような運用によって成立しています。
こうした詐欺の手口を正確に理解することは、自分の身を守るために不可欠です。このような搾取行為がどのように行われるのか、具体的に説明しましょう。
詐欺Webサイトによる脆弱性攻撃の仕組み
詐欺Webサイトの中核をなすのは、ソーシャルエンジニアリング(技術的なコンピューターシステムではなく、人間の判断を利用した脆弱性攻撃)の活用です。
このような心理的な操作を使用する詐欺は、悪意のあるWebサイトが合法的で信頼できると被害者が信じることに基づいて行われます。公的な政府組織が運営するWebサイトなど、合法的で信頼できるサイトに見せかけることを目的に設計されたものもあります。
詐欺を目的としたWebサイトは、必ずしも出来がいいとは限りません。注意深く見ると詐欺であることが看破できる場合もあります。入念に調べられることを避けるために、詐欺Webサイトはソーシャルエンジニアリングの重要な要素である「感情」を使用します。
感情を操作することで、攻撃者はあなたの自然な懐疑的な直感が働かないようにすることができます。多くの場合、詐欺師は被害者に次のような感情を抱かせるように試行錯誤します:
- 切迫感:時間に制約のあるオファーやアカウントのセキュリティ警告により、被害者が冷静に考える間もなくすぐに行動を取るよう働きかけます。
- 興奮:無料ギフトカードや急速な資産形成の仕組みなど、魅力的な約束が誘発した楽観的な心境により、潜在的なデメリットを見落としてしまう可能性があります。
- 恐怖:ウイルス感染やアカウント警告の偽装がパニック的な動作につながり、切迫感と結びつくことがよくあります。
これらの感情が複合的に働くにせよ、単独で働くにせよ、それぞれが攻撃者の目的の達成を後押しする役割を果たします。心理的な弱みにつけ込んだ詐欺が成功するのは、被害者が自分に関係があると感じたり、親近感を持ったりした場合のみです。多くの種類のオンライン詐欺サイトは、特にこのような理由によって存在しています。
詐欺Webサイトの種類
詐欺Webサイトは、他の多くの詐欺の種類と同様に、同じような仕組みを共有しているにもかかわらず、異なる前提に基づいて運営されています。詐欺Webサイトが使用する可能性のある前提の種類を正確に詳しく説明しましょう。一読いただけば、今後遭遇するかもしれない詐欺行為をより的確に察知することができるようになります。以下は、詐欺サイトの一般的な形式です:
フィッシング詐欺のWebサイト
フィッシングWebサイトはよく利用されているツールです。状況を偽って提示することにより、ユーザーに個人情報を開示させようとします。これらの詐欺は、銀行やメールプロバイダーなど、正規の企業や機関になりすますことがよくあります。
攻撃者は通常、ユーザーをおびき寄せてWebサイトに誘導します。誘導には、メールやその他のメッセージでエラーやその他の問題を報告し、解決にはユーザーのアクションが必要であるとして要求する手口が使用されます。この詐欺は、アカウントのログイン情報やクレジットカード情報、その他の機密データの入力を要求する状況を演出します。要求に従うと、被害者が入力したあらゆる情報が攻撃者により悪用されるという結果になります。
オンラインショッピング詐欺のWebサイト
最もよく見られる詐欺の1つとして、オンラインショッピング詐欺のWebサイトがあります。この詐欺は、偽装されているか作りが粗悪なオンラインストアを使用して、被害者のクレジットカード情報を収集します。
このような詐欺サイトは、時には製品やサービスを提供して、信頼できると錯覚させることがあるので厄介です。もっとも、そうした製品やサービスの質は必然的に劣ったものになります。もっと注意すべき点は、こうしたサイトは被害者のクレジットカードの詳細情報を収集するための入り口であるということです。収集されたカード情報は被害者の許可を得ることなく、不当に濫用されることでしょう。
スケアウェア詐欺のWebサイト
スケアウェアWebサイトの詐欺は、偽のセキュリティ警告ポップアップを使用して、本物のウイルス対策プログラムになりすましたマルウェアをダウンロードさせます。デバイスがウイルスやマルウェアに感染していると表示し、恐怖と切迫感を煽ってその解決策をダウンロードさせるのです。
本物のインターネットセキュリティ製品を所有していれば、マルウェアのダウンロードを防止できますが、持っていないユーザーはこの詐欺の餌食となる可能性があります。
当選金詐欺のWebサイト
当選金詐欺は、高額賞品のプレゼントという形式をとる場合があります。ユーザーを誘惑し、架空の料金を支払うための金銭的な情報を最終的に提示させます。
架空の料金は、商品の税金や送料として表示されることがあります。情報を提示したユーザーは詐欺に対して無防備になるだけで、賞品を受け取ることはありません。
詐欺Webサイトの例
過去のインターネット詐欺では、高い頻度で詐欺専用のWebサイトが使用されています。今後の詐欺行為を見抜くために、注目すべき例をいくつか挙げてみましょう:
COVID-19ワクチン試験詐欺のWebサイト
2020年半ばから後半にかけて、偽のCOVID-19治療に関するレポートが出回りました。このようなCOVID-19詐欺は、COVID-19ワクチンの臨床試験への参加と引き換えに、支払い情報や社会保障番号(SSN)のような重要な情報を収集します。
正規の予防接種試験は、報酬を提供したり、個人情報の提供を依頼したりすることはありますが、流出するとセキュリティ侵害が発生するような情報を参加に際して要求することはありません。臨床試験の支払いにはよくギフトカードが使用されますが、詐欺の場合はカードの詳細情報や銀行の口座番号まで要求します。実際の臨床試験では、基本的な個人情報が提供されることもよくありますが、SSNやその他のプライベートな情報が必要とされることはありません。
DMVフィッシング詐欺のWebサイト
2020年10月、車両管理局(DMV)になりすましたフィッシング詐欺がオンラインサービスへの移行に乗じて発生しました。正規のDMVサイトを模倣したWebサイトを作成することで、詐欺師による不正な自動車登録料の支払いなどが可能になりました。
偽のWebサイトの見分け方
幸いにして、詐欺Webサイトから身を守る簡単な方法がいくつかあります。これらに従えば、インターネットを利用する際に家族と財布の安全を確保することができます。
次のヒントに従うことで、これらの脅威からより適切に自身を守ることができます:
- 感情的な言葉:Webサイトはあなたの感情を高ぶらせるような言い回しをしていますか?切迫感、楽観性、恐怖感が高まっていることを感じたら、慎重に行動してください。
- お粗末なデザイン品質:少々わかりきったことのように聞こえるかもしれませんが、サイトがどのようにデザインされているかをよく見てください。正規のWebサイトなら期待できるようなスくるに基づくデザインや、見た目の品質が備わっていますか?低解像度の画像や奇妙なレイアウトは、詐欺サイトとして警戒すべきサインです。
- おかしな文法:スペルミス、片言の英語や堅苦しい英語、または複数形や単数形の誤用などの明らかに見てわかる文法ミスがないかを調べましょう。
- 身元が確認できるWebページがない: さらに、正式な企業のWebサイトであれば、「お問い合わせ」ページや「会社概要」ページなどの基本的なページが実装されている必要があります。不安な場合は、その企業に電話してみましょう。携帯電話の番号が掲載されていたり、電話に出なかったりする場合は要注意です。口頭での接触を避けたがるような企業は、何か訳ありな可能性があります。
詐欺Webサイトを回避する方法
詐欺Webサイトを回避するには、注意深く慎重にインターネットを利用する必要があります。このようなサイトを完全に回避できなくても、より効果的に行動し、悪影響を受けないようにすることはできるかもしれません。ここでは、詐欺サイトに遭遇しないようにするための方法をいくつか紹介します。
ドメイン名をチェックする
正規サイトになりすます目的で開設されたサイトは、正規サイトのアドレスに類似したドメイン名を使用することがよくあります。たとえば、FBI.govの代わりにFBI.comやFBI.orgを使用する偽装サイトが考えられます。.netや.orgで終わるアドレスには特に注意が必要です。オンラインショッピングサイトでは、このような種類のドメイン名を使用するケースは極めて少ないからです。
もう少し詳しく調べたい場合は、ドメイン名やURLの登録者をWHOISなどのサイトでチェックすることができます。検索は無料です。
支払い方法に気を付ける
銀行振り込みでの直接の支払いを決して行わないのは、実践するとよい方法の1つです。銀行口座にお金を振り込んで、その取引が詐欺だった場合、お金は一銭も戻ってきません。クレジットカードでの支払いは、万が一の事態にある程度の補償が受けられます。
あまりに都合がよすぎる話には要注意
一瞬の時間や最小限の努力と引き換えに想像を超えるような贅沢を約束するのは、詐欺師の常套手段です。あまりに都合がよすぎるものを見たり聞いたりした場合は、常に自分に問いかけるようにしましょう。
そのサイトは、タブレット、PC、デザイナートレーナーの製品を、どう見ても激安で信じられないような値段で販売していますか?健康食品のWebサイトは、たった2週間で筋肉を大きくしたり、体重を劇的に減らしたりすることを約束していますか?大儲けするための確実な方法はどうでしょう?都合がよすぎて真実味がないような話は嘘であると判断するようにしておけば、間違うことはありません。
インターネットで検索してみる
Webサイトが詐欺かどうか依然として判断しかねる場合は、検索してみて、インターネット上で他の人々がそのWebサイトについてどうコメントしているかを検索してみましょう。評判は、よいものであれ悪いものであれ、オンラインでは広く拡散されます。Webサイトで不快な思いをしたことがある人は、おそらくオンラインでそのことを話していることでしょう。Trustpilot、Feefo、Sitejabberなどのサイトでレビューを探して、サイトが過去に詐欺行為を働いたことがあるかどうか調べてみましょう。
悪いレビューが見つからない場合でも、何も考えずに最高のサイトだと決めつけるのはやめましょう。詐欺サイトが新しいため、レビュー件数が少ないというケースもあります。その他のあらゆる要素も判断材料として考慮し、あなたが最初の被害者にならないように注意してください。
常にセキュアな接続を使用する
金融データやセキュアなデータの入力を要求する正規のサイトを参照する時は、ブラウザーバーのURLの横に企業名が表示され、セキュアな接続にログインしていることを示す南京錠のマークが表示されているはずです。このマークが表示されなかったり、そのサイトが最新のセキュリティ証明書を持っていないとブラウザーが警告した場合は、赤信号です。個人の保護レベルを高めるために、常に一流のセキュリティ製品を使用し、保護を多層化してください。
また、Webサイトが当然安全なはずであるという思い込みをしないことです。リンクをただクリックしてWebサイトを開くのはやめましょう。代わりに、Webアドレスを手動で入力するか、ブックマークに保存してください。悪意のある犯罪者は、一見無害なサイトと似たようなドメイン名を購入することがよくあります。自分でWebアドレスを入力するか、正確だとわかっているものを保存しておくことで、安全性がより高まります。
また、カスペルスキー プレミアムのネット決済保護などの機能を使用するのもよい方法です。これにより、オンライン決済をさらに安心して利用できるようになるでしょう。
詐欺Webサイトの被害に遭った場合の対処方法
これまで説明したような悪意のあるサイトの被害に遭ったら、取るべき行動をすぐに取りましょう。攻撃者による脆弱性攻撃の影響を抑えるチャンスは、まだあなたの手の内にあります。詐欺が成功しても、被害を軽減する方法がいくつかあります:
- 詐欺師と連絡を取り合っていた場合は、連絡するのをやめましょう。
- 詐欺師への未決済または進行中の支払いを確認し、中止してください。
- 不正使用されたクレジットカードはすべて解約し、これ以上不要な請求が発生するのを防止しましょう。
- 銀行口座やメールアカウントなど、最も重要なパスワードと暗証番号を更新しましょう。
- クレジットカードを凍結し、あなたの身元情報が新たな詐欺行為のために悪用されるのを阻止してください。
- 助けになってくれそうなサービスプロバイダーや機関に詐欺を報告してください。
自分自身や他人が今後発生しうる詐欺の被害に遭わないように対策を講じる際に、適切な当局への通報は非常に重要です。
詐欺Webサイトの報告方法
Webサイトの報告方法を知っておくことは、報告することと同じくらい重要です。必要な知識を自分で把握、確認するようにしましょう。
何を差し置いてもまずは、詐欺の被害が発生したサービスの提供元に報告するようにしてください:
- 銀行期間やクレジットカード会社。
- アメリカ合衆国内国歳入庁(Internal Revenue Service:IRS)。
- GoogleやAppleなどのオンラインアカウントプロバイダー。
- AmazonやeBayなどのeコマースストア。
Webサイト詐欺の被害に遭いかけたり、あってしまった場合は、米国インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)に、国際的な詐欺の場合はeconsumer.govに報告してください。
Googleは悪意のある検索結果が表示されないように取り組んでいますが、その取り組みを支援する意味でも、必ず詐欺サイトを報告してください。
最後に、必ず地元の警察に連絡してください。このような性質の詐欺を地元で捜査してくれるかもしれません。
カスペルスキー インターネット セキュリティは、インターネットセキュリティ製品として最高のパフォーマンスと保護性能に相当するAV-TEST賞を2021年に2度受賞しています。すべてのテストにおいて、カスペルスキー インターネット セキュリティは傑出したパフォーマンスを発揮し、サイバー脅威からの保護性能の高さを実証しました。
関連リンク: