フィッシングやその他の詐欺的な方法によってサイバー犯罪の被害に遭った銀行顧客は、心理的ストレスや被害回復のための煩雑な手続きによって損害を受けるだけでなく、資金を取り戻すことさえ困難になる場合があります。
一方、サイバー犯罪者が被害者から金を巻き上げるために使用する詐欺はますます巧妙化しており、顧客が詐欺行為の兆候に警戒することがさらに重要になっています。
1. 疑惑の銀行送金
「口座振替のお知らせ」「お取引の確認」など、これらは自分の銀行を装ったメールの件名によく見られるもので、通常は3桁半ばの金額が続きます。つまり、夢のような金額ではありませんが、予算に少しばかり影響を与え、何も知らない銀行利用者を怖がらせるには十分な金額です。
詐欺師が狙っているのはまさにこの感情的な反応です。メッセージには通常、実在する銀行のオンラインサービスと紛らわしいほどよく似たウェブサイトへのリンクが含まれています。
ここで、詐欺の被害者はアクセスデータ(詐欺師の手に渡る)を使ってログインし、取引承認番号(これも詐欺師の手に渡る)を使って疑わしい取引をキャンセルします。その後、詐欺師は取得した情報を使って被害者の口座から資金を送金します(通常は数秒以内に自動的に行われます)。
さらに詳しく:電話詐欺師は偽のAI音声を使用しています。身を守る方法はこちら
もちろん、この方法はメールの受信者が送信者として指定された銀行に実際に口座を持っている場合にのみ有効です。しかし、犯罪者は数十万人の受信者にメールを送信するため、最終的にこの方法に該当する人物にたどり着くことがよくあります。
身を守る方法:この詐欺は、金銭的損失への恐怖といった感情が強い行動衝動を引き起こすことで成立します。詐欺師は、「以下のリンクから取引を確認し、必要であればキャンセルできます」といったメッセージで、この行動衝動に誘導します。この仕組みを知っておくだけで、衝動に屈しないよう助けることができます。
銀行からの本物のメッセージかどうか確信が持てない場合は、通常通りオンラインバンキングにアクセスしてください。つまり、スマートフォンの銀行アプリを使用するか、ブラウザに直接アドレスを入力してください。それでもまだ確信が持てない場合は、銀行にご連絡ください。
重要:怪しいメッセージで送られてきたリンクや連絡先の詳細は絶対に使用しないでください。
2. 銀行員からの電話
上記と同様の仕組みを使用する詐欺は、電話を介して行われます。
事前にスパイ活動を行っていた場合、発信者は被害者の銀行の職員を装うこともあります。しかし、多くの場合、警察当局、サイバーセキュリティ企業、またはマイクロソフトの社員を名乗っています。
次に、詐欺の被害者になりそうな人物に、「異常な活動」に気づいたと伝えます。例えば、通常とは異なるアカウントアクセス、電話をかけた人物のIPアドレスとの間で不審なデータストリームが発生していること、あるいは、その人物に関する機密情報がダークネット上に流出していることなどです。まだ何も起こっていませんが、金銭的な被害を防ぐためには、被害者の協力が必要です。
その後の会話で、発信者はあらゆる種類の個人データを要求し、常にそれを「照合」すると言われています。
さらに読む:アマゾン三角詐欺:それが何なのか、どのように機能するのか、そして何をすべきか
オンラインバンキングへのアクセスからクレジットカードのセキュリティコード、生命保険の証券番号まで、巧妙な詐欺師たちはすでにこの方法であらゆる種類の個人情報を入手しています。一方では被害者の口座から資金を搾取し、他方ではその個人情報をさらなる詐欺に利用しています。
身を守る方法:この詐欺は「権威」という影響力を基盤としており、多くの場合、発信者が既に被害者に個人情報の一部を提供できるという事実も利用しています。このような詐欺に備えて、詐欺師は被害者のソーシャルメディアのプロフィールを検索することがよくあります。
このような電話を受けた場合は、会話に加わらないでください。発信者の電話番号を尋ね、折り返し電話することを約束してください。相手が拒否した場合は、電話を切りましょう。電話番号を教えられた場合は、その番号から逆算して、誰が電話をかけたのかを調べてください。そうすれば、警察に通報する情報がさらに増えるでしょう。
3. IBANトラップ
IBANは「国際銀行口座番号」の略です。IBANの罠を悪用する詐欺師がよく口にする約束は、「翌日の預金で4.5%!」です。これは決して目を見張る金額ではありませんが、ほとんどの銀行が提供する金額よりも1~2%高いです。
被害者は、こうした勧誘に、例えば不気味な「金融比較」といった回りくどい形で遭遇することが多い。多くの評判の良い銀行の勧誘が比較されるが、1位になるのは、あまり知られていない名前(銀行によって名称は異なる)で、登記上の事務所が国外にある銀行であることが多い。
価格比較ページのリンクを介して、詐欺の被害者になる可能性のある人は、この銀行に口座を開設し、数分後に IBAN を受け取り、そこに貯金を移すことができます。
トリック:銀行は実在するが、IBANは詐欺師がアクセスできる既存の口座のものである。理論的には、受取銀行は送金先の受取人名と口座名義人が一致していないことに気付く可能性がある。
実際には、銀行にはこの点に注意を払う義務がありません。資金が銀行に到着すると、詐欺師は口座から資金を引き落とします。顧客は高い金利を受け取る代わりに、資金を失うことになります。口座振替とは異なり、資金が他の口座に到着すると、振替はキャンセルできません。そして、詐欺師が被害に気付くまでには数ヶ月かかることもあります。
身を守る方法:「強欲は脳を食い尽くす」というのは株式市場の格言です。もしオファーが異常に良い場合は、そのオファーが他の場所、例えば有名で評判の良い比較プラットフォームなどで知られているかどうかを確認してください。もし高金利口座の広告が1つの情報源しかない場合は、手を出さないでください!
4. オープンWLANでの銀行業務
これは、Evil Twin(悪意のある双子)を設定するために使用できる古いスクリプトです。これは、無害なWLANアクセスポイントと同じ名前を持つ、悪意のあるWLANです。
IDG
空港、ホテル、カフェには、無料の無線LANアクセスポイントが当たり前のように設置されています。犯罪者がこれらのネットワークの「悪意ある双子」を作ろうとさえしなければ、空港やホテルの公式Wi-Fiネットワークは概ね信頼できるものだったでしょう。
「Evil Twins」または「Rogue Access Points」は、空港、ホテル、その他の公共の場にある正規のWLANを装っています。ユーザーがこれらの偽のアクセスポイントに接続すると、最悪の場合、詐欺師はすべてのデータトラフィックを傍受し、パスワード、クレジットカード情報、その他の個人情報などの機密情報を盗む可能性があります。
身を守る方法:残念なことに、悪の双子は信頼できる双子とほとんど区別がつきません。旅行中に銀行サービスにアクセスし、オープンなWLANを使用する必要がある場合は、VPNサービス(Cyberghost、NordVPN、ExpressVPNなど)を利用するのが賢明な投資です。
さらに読む:最高のVPNサービス
VPNは、デバイス間のすべてのデータトラフィックを暗号化します。つまり、傍受されたデータは犯罪者にとって価値を失います。
5. 銀行からの偽のSMS
スミッシングは、メールによるフィッシングと同じ原理で行われますが、犯罪者がテキストメッセージでやり取りする点が異なります。特に、SMSによる二要素認証を利用している、またはSMS-TANで取引を確認している銀行の顧客は、銀行からこのような通知を受け取っても、最初は何も疑いません。
身を守る方法:メッセージが本当に銀行から送られてきたものかどうかわからない場合は、銀行の公式ウェブサイトからオンラインバンキングにアクセスしてください。SMSで受信したリンクは絶対にクリックしないでください。信頼できる銀行は、リンクを含むSMSメッセージを送信することはありません。
さらに読む:クイッシングとヴィッシング:新たなセキュリティ脅威から身を守る方法
6. 中間者ブラウザ攻撃
中間者ブラウザ攻撃は、オンラインバンキングにおける最も陰険な危険の一つです。サイバー犯罪者は、被害者のブラウザにマルウェアを仕掛けます。
そのために、彼らは未修正のセキュリティ脆弱性を悪用したり、一見便利なソフトウェアをダウンロードさせ、ブラウザに感染させたりします。ユーザーが銀行振込を行おうとすると、マルウェアは取引を傍受して操作します。
例えば、送金データ、特に金額と受取人を変更することができます。ユーザーには正しい情報が表示されますが、銀行は改ざんされたデータを受け取ります。
身を守る方法:ブラウザとオペレーティングシステムは常に最新バージョンを使用し、アップデートのインストールを怠らないようにしてください。ウイルス対策プログラムは必須です。
さらに詳しく: Windowsに最適なウイルス対策ソフトウェア
7. セッションハイジャック
セッション ハイジャックでは、サイバー犯罪者は被害者のブラウザーやオペレーティング システムに存在する技術的なセキュリティの欠陥も悪用するため、オンライン バンキング セッションが開始されるまで待つ必要があります。
次に、ネットワーク トラフィックの監視、コードの挿入、または生成中の脆弱性の悪用によって、セッションの認証に使用されるユーザーのセッション ID を取得します。
このセッション ID を使用すると、サイバー犯罪者はユーザーのセッションを乗っ取り、ユーザーがオンライン バンキングで実行できるすべての操作を実行できます。
身を守る方法:上記の罠と同様に、最新バージョンのブラウザと、パッチが適用された最新のオペレーティングシステムを使用することが最も安全です。銀行アプリが不要になったらすぐにログアウトし、ブラウザウィンドウを閉じることで、セキュリティをさらに強化できます。
8. 限界がない
取引限度額が高額の場合、オンライン バンキングにアクセスできるサイバー犯罪者は、盗んだ TAN (取引承認番号) を 1 つ入手するだけで、口座の残高全体と当座貸越枠をすべて使い果たすことができます。
身を守る方法:普段の送金金額よりも大幅に高くならない程度の取引限度額を設定しましょう。もし設定した限度額を超える送金が行われた場合は、一時的に限度額を引き上げ、すぐに設定し直してください。少し手間をかけるだけでも、セキュリティ強化には十分価値があります。
9. 古いオペレーティングシステム
Microsoftは、古いオペレーティングシステムのセキュリティ脆弱性に関する情報を公開しておらず、それらに対するアップデートも提供していません。しかし、サイバー犯罪者は依然としてWindows XPと7を標的にしており、これまで発見されていなかったセキュリティ上の欠陥を探し出し、気づかれずに攻撃に利用しています。
身を守る方法: Windows 10 または 11 のライセンスはそれほど高価ではありません。セキュリティに投資しましょう。もう一つの選択肢は、スマートフォンで銀行取引を行うことです。Android と iOS には、Windows に比べてマルウェアが大幅に少ないです。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
