フィッシングとは、銀行やクレジットカード会社などの金融機関を装ったメールやSNSのメッセージを送り、ネット決済に必要な情報を窃取することを目的とした詐欺行為です。
主な手口は、金融機関を装ったメールに「お客様の情報を確認するため、下記URLをクリックしてください」などの文面でユーザにURLをクリックさせ、あらかじめ用意しておいた本物そっくりの偽サイトに誘導します。
そして、そのサイト上にクレジットカード番号、セキュリティコードや口座番号等を入力させるように促し、それらの情報を窃取します。
フィッシング詐欺に引っかからないためには、そのメールを開いたり、メールに記載されているURLをクリックしたりしないことが重要ですが、攻撃者も巧みな方法で誘導してくるので、フィッシングサイトでないかどうか確認する方法を紹介します。
まず、URLが本物かどうか調べるために、銀行名で検索をかけて、銀行の公式ページを開き、個人情報を入力する必要があるのであれば、その公式ページのメニューからログインして行いましょう。
また、通常銀行など金融機関のサイトには「証明書」というものが付いており、IEならステータスバー、ChromeならURLの部分に鍵のマークがあればクリックしてください。
「証明書」というメニューがあればクリックし証明書を開いてください。
証明書には必ず発行者が記載されており、その発行者が該当の金融機関であれば、偽サイトではないということになります。
つまり、重要な個人情報を入力する必要がある場合は、URLから誘導されたサイトにすぐに入力せずに、必ず確認をしてください。
さらには、最近ではHTMLメールで直接メール上にログイン情報などの入力を促すケースもあります。
HTMLメールはメーラーのプレビュー機能で表示するだけでマルウェアに感染する恐れもあります。
メーラーでメールを受信する際にはプレビュー表示をオフにし、HTMLメールはテキストメールに変換する設定をしておくと安心でしょう。
フィッシングの手口は年々巧妙化しています。「個人情報が流出したかもしれないので、確認のためログインをしてください。」などユーザの不安を煽る警告を使って、言葉巧みにパスワードの入力を促してきます。
入力をする前に、実際にそのような事例があるか検索したり、証明書を確認したりといった自衛策を講じるようにしましょう。
自動的にフィッシングメールを無効化する事もできますが、最後は自分の目で確認しましょう。