みなさんこんにちは!記事を読んでくださりありがとうございます。
Qiitaには初投稿なので、簡単に自己紹介をさせてください。
自己紹介
・カナダのバンクーバーでWeb/モバイルエンジニアとして働いています
・2024年7月に日本に帰国し、プロダクトオーナーに転身します
・大阪出身です
何が起こったかの概要
タイトルの通り、小賢しいWeb系の詐欺にはまって危うく銀行口座に侵入されかけました。カナダで起こった出来事ですが、日本でも似たようなことが起こり得る事例かと思ったので、よりたくさんの方に注意喚起ができればと思いこちらに投稿致しました。
時系列での解説と違和感ポイント
みなさん、Facebookには「マーケットプレイス」という機能があるのをご存知でしょうか?日本で言うジモティーのような機能です。カナダでは不用品の売買でFBのマーケットプレイスが非常によく利用されます。私は2ヶ月後に日本へ引っ越す為、不用品の売買のためにそちらを利用していました。今回の詐欺はその過程で出くわしたものです。
ちなみに、私は過去本マーケットプレイスにて何十回と取引をしており、利用には慣れている方です。そんな状態でも80%ぐらい引っかかったわけですから、初見で見破ることは非常に困難であると推察されます。
①詐欺師からの連絡
私が出品しているモニターアームに対し、詐欺師からこのような連絡がきました。
(顔も名前も全て晒してやろうと思いましたが、彼がアカウントを乗っ取られている可能性を加味して黒塗りしています)
日本語に訳すと「今ちょっと遠くにいて、バンクーバーに戻るのは4/25以降なんだよね。先にお金を払うから、これ取り置きしといてくれない?」という内容です。何か同じ内容が2回連続で送られてきているのでこの時点で少し怪しいですが、まあこれだけではただの送信ミスとも捉えられます。
余談ですが、カナダではE-transferという送金方法が主流で、メールアドレスだけで振込料金がかかることなく即時に送金ができます。これは非常に便利です。
彼に送金先のメールアドレスを教えて、来た返事がこれ。
訳すと「払ったよ〜。ビジネス用の口座から払ったからauto-depositはできてないかも。だから手動で着金の処理しといて」という意味です。
Auto-depositというのは、E-transfer送金を受けた時に自分の口座に即入金する設定のことです。Auto-depositを設定していなければ、パスワード等を設定して着金処理をする必要があります。
ここ、第1の違和感ポイントです。
これを見た時私は「へ〜そうなんだ、まあそういうこともあるか」ぐらいにしか思いませんでしたが、よく考えれば給料もE-transferで送られてくるので、ビジネス用の口座だからAuto-depositが無効とかありません。
②偽の送金通知メール
E-transferで送金を受けると、メールアドレスに通知が来ます。その時に受け取った「偽の」通知メールがこれです。
ちなみに、普段受け取る本物の通知メールがこれです。
めちゃめちゃ巧妙じゃないですかこれ?見破れますか?
僕は無理でした。
違和感を感知できるポイントとしては、
- 件名
- 送信者ドメイン
- Reference numberの有無
ぐらいだと思いますが、疑っていない状態でこのあたりの細かい部分に気づくのはほぼ不可能だと思います。
当然私もこの時点では微塵も疑っておらず、まんまと "Deposit your Money" をクリックしました。
③偽の認証サイト突入
ほんとはここスクショとかつけて説明したいんですけど、もう1回あのリンクを踏むのはもう嫌なので文字だけでご容赦ください。
ただ、認証サイトの見た目もほぼ本物と同じで、ここでも感知することはほぼ不可能です。
ここで第2の違和感ポイントに遭遇します。
手動で着金処理をする時、金融機関を選ばないといけないのですが、メジャーな金融機関はアイコンボタンで表示されている一方、少しマイナーな銀行だと、検索バーからでしか選択できないんですね。私はこの時、新し目のネットバンクであるEQ Bankを選択しようと検索バーを使ったのですが、EQ Bankがヒットしませんでした。
ここでも私は「なんか向こうの口座と提携してないのかな?」とかいうすっとぼけた理由を頭に思い浮かべながら違和感をスルーし、サムネイルで表示されているTD Bank (最もメジャーな銀行のひとつ) を選択しました。
ちなみに後日、手動で着金処理をする場面があったのですが、本物の選択画面ではEQ Bankはきちんとヒットしました。
TD Bankのボタンをクリックすると、偽のTD Bankのログイン画面に遷移しました。これも見た目はほとんど本物と同じでした。
しかしここで第3の違和感ポイント。
普段使っている1Passwordが動作しませんでした。1Passwordは滞在中ページのドメイン (サブドメイン含む) を検知してパスワードのサジェストを表示するので、ページのドメインが違うことには私はここで気づいていたんです。しかし「このルートでたどり着いたらドメインが変わるのかな?」とかいう、またもや能天気お花畑な理由でスルーします。そんなことあるはずないのに。
④ログイン情報入力
先ほどの大物さえもスルーした私は手動でログイン情報を入力。
ここで第4の違和感ポイント。
パスワード入力欄の文字がデフォルトでアスタリスク表示 (***) になっていませんでした。
しかしバイアスの餌食になっている私は「このルートでたどり着いたら入力欄の設定が変わるのかな?」とかいう、脳みそが液状化してるんじゃないかというような理由を思い浮かべ、またもやここをスルーします。
恐らくこの偽サイトを作った人間のミスで、<input type="password">としないといけないところを<input type="text"> とかにしてたんだと思います。
そして押してしまったんです。フォームの送信ボタンを。
そして画面には、2段階認証で送られてくるコードを入力するためのポップアップが表示されました。(こういうのも実装されてるんです、やばいですよね)
ここで私はこれが詐欺サイトであることに気づきました。
2段階認証でコードが送られてくるまでの待ち時間が異様に長かったんです。普段は数秒で送られてくるのですが、30秒は待ったと思います。これが第5の違和感ポイントですが、この段階でようやく、溜まりに溜まった違和感のダムが決壊し我に帰りました。
もう全身の血の気が引きましたよね。
よく見ると、表示されているポップアップには "Please enter the code sent to you." (送られてくるコードを入力してください) としか書いていません。しかし通常、2段階認証でSMSが送られてくる際には、(xxx)xxx-1234 みたいな感じで送り先の番号の下4桁とかが表示されているはずなんです。
奴らにそんなことできるはずありませんよね、だって私がうっかり渡したのはネットバンクのログイン情報で、電話番号は渡してないわけですから。
今までの違和感が全て線で繋がりました。
しかし40秒ほど経ったあと、私の携帯には2段階認証用のSMSが送られてきました。奴らがどういう動きをしているかもうおわかりですよね。
そう、奴らは、私がうっかり渡してしまった情報を使って、リアルタイムでログインを試行していたということです。
もし、気づくのがあと30秒遅れて、SMSで送られてきた2段階認証用のコードをその偽のポップアップに入力してしまっていたら、奴らは晴れて私の口座に侵入できていたということになります。もうほんとに、奴らはすぐそこまで来てたんです。
⑤決死のリカバリームーブ
なんとか詐欺を感知できた私は、ソッコーでネットバンキングのパスワードを変更。そして半泣き半ちびりになりながら銀行に電話をかけ、詐欺に遭って口座情報が流出してしまった旨を伝えました。情報が流出した場合、セキュリティを一時的に通常時よりも厳しくしてくれるみたいです。
私が使っているTD Bankのネットバンキングシステムは、ユーザIDがデビットカードのカード番号になっているので、そのカードも無効にしてもらいました。この時点で、私がうっかり奴らに渡してしまった情報は (メールアドレスを除いて) 全て無効になったということです。口座の取引履歴を見ても、怪しい出金の形跡はなし。なんとか金銭的な実害は免れました。
TDのネットバンキングは、デビットカード番号とは別にユーザIDを設定できるみたいなので、そちらを設定した方がセキュリティ的には安心かもですね。
ちなみに後から偽のサイトを改めて眺めてみたら、ここまでで気付いた点の他にも、フッターにあるアイコンの表示が崩れてたり、ページ内の要素が微妙に整列されてなかったりしました。
俯瞰的に振り返ってみよう
とまあここまで時系列で細かく書いてきましたが、汎用性のある形で頭の中に留めておくべきことは何なのか、という観点で、少しだけ抽象度を上げて振り返ってみましょう。自戒の意味もこめて。
(1) 2段階認証は何が何でも有効にする
銀行のネットバンクは2段階認証を義務化しているところがほとんどだと思いますが、2段階認証が任意のサービスも結構存在すると思います。最近はPasskeyによる認証も広まってきているので、そっちの方が安心ですね。今回の手法は通用しないわけですから。「Passkeyって何?」って思った方。今すぐリサーチすることを強くおすすめします。
(2) 2段階認証コード入力時に注意
Passkeyに対応していないサービスもまだまだ多く存在します。前章④で記載した通り、SMSでコードが送られてくる際は、送り先の電話番号の一部が何かしらの形で表示されるはずです。それがない場合は疑ってかかりましょう。AppleやGoogleのアカウントのように、アカウントに複数のデバイスやアプリが紐づいている場合は、そのデバイス・アプリに直接コードが送信される場合もありますが、その際にも、自分のアカウント・デバイス・場所の詳細がきちんと表示されているかをよく見ましょう。何のことかピンときてない方、今すぐリサーチすることを強くおすすめします。
(3) 小さな違和感に敏感になる
今回はなんとか金銭的な実害を受けずに済んだわけですが、ログイン情報は渡してしまっているので、ひっかかったも同然です。しかし、節々で感じていた小さな違和感をスルーしなければここまで死ぬ思いはしなかったはずです。違和感を覚えた際は、どんなに小さなものであっても、きちんと一度立ち止まって必要なことを確認しましょう。 (死ぬ思いをしたからこそ大きな学びを得たという一面は確かにありますが)
(4) 詐欺の手口に関する知識を増やす
どのような手口の詐欺があるかを知っているかどうかも重要ですね。当然、今回の手法をあらかじめ知っていればここまで死ぬ思いをせずに済んだでしょう。きちんと情報収集する習慣をつけ、目新しい詐欺手法に出会ったらそれを周りにシェアしましょう。
さいごに
いや〜むかつきますね。人を騙して喰うメシはうまいんでしょうかねぇ。
巧妙であるとは言え、ITの専門家の端くれとして、この手の詐欺にひっかかってしまったのは何とも不甲斐ない限りです。これからも日々慢心せずに勉強ですね。技術の発展に伴い、詐欺の手口もどんどん多様化してくるはずです。みなさんも、くれぐれもお気をつけください。
みなさんの大切なお金が、ゴミカスみたいな詐欺師どもの懐に納まってしまう事例が少しでも世の中から減ることを心から祈っています。
よければ、他のSNSでもつながってください!😊
note: https://note.com/gotovan
X: https://twitter.com/Isobe_Hiroshi
LinkedIn: https://www.linkedin.com/in/hiroshi-isobe/
YOUTRUST: https://youtrust.jp/users/isobehiroshi
Wantedly: https://www.wantedly.com/id/hiroshi_isobe69