フィッシングメールに引っかかる(涙)

情けないですが、フィッシングメールに引っかかってしまったので、ここに体験を書きたいと思います。

まず、数日前に知り合いから、トルコのイスタンブールで強盗に有ったのでWestern Unionで送金してほしいというメールが届く。確認のためにローマ字で返信。返信はなく、共通の知り合いに確認すると、日本にいるので詐欺メールだということが判明。
恐らく、返信したことで相手にアクティブなアドレスであることが知れる。

今朝起きると、Googleから次のようなメールが来ていた。
—————————————————————
From: Gmail
Dear Email Client,

We detected an unsuccessful login attempt from an unfamiliar location. This security measure is to forestall any fraudulent access to your account.
Quickly validate by confirming your identity here to avoid being suspended

Thanks. Sincerely, The Google Accounts Team
————————————————————
で、hereにここへのリンクが埋め込まれていた。
http://sebukar.com/nwgma.html
恐らくしばらくするとドメインが削除されると思うのでキャプチャを張ってみる。


ドメインは、レジストラがNETEARTH ONE INC. D/B/A NETEARTH。
ほっとけばいいものを、リンクをクリックしてしまい、ID、パスワード、生年月日、アカウント復旧メールアドレスを入力してしまった。

しばらくすると友達から変なメールが来たよ、という問いあわせが多数。
あーっ、やられてしまったとここで気づく。
まずはパスワードを変更しようと、Googleへログイン。出来る!変えられていない様子。
しかし、設定を見ると予備のメールアドレス、電話番号が変えられてしまっている。
Gmailの設定も、メールをすべてkenji.kobeyashi@yahoo.comというアドレスへ転送するようになっている。やばい・・。

■Googleアカウントの凌辱
気づいた箇所はこんな感じ。他にもあるかもしれません。

・連絡先の一部削除
・連絡先メールアドレスの改ざん
メールでの連絡をできなくするためだと思われる。

・受信メールの第三者アドレスへの転送並びにゴミ箱移動設定
パスワードを変更しなかったのは、アカウント乗っ取りを知られないためだと思われる。転送設定をすることで、所有者に知られずに対象と連絡が可能。

・返信時メールアドレス(Reply-to)を第三者アドレスへ変更
返信時に所有者へ帰らないように設定するためだと思われる。

・復旧メールアドレスを第三者アドレスへ変更
アカウントを恒久的に乗っ取るための設定だと思われる。

・連絡先電話番号の変更
同上

・送信済メールアドレスの削除
誰にメールを送信したか隠ぺいするためだと思われる。

・送信済メールを残さない設定へ変更
同上

・受信メールの一部削除

■もしメールを送信すると
届いたメールへ”返信”で返信してしまうと、Reply-toアドレスが第三者になっているので、私のアカウントを経由せずに直接詐欺者へメールが届いてしまいます。もし被害にあわれた方が居ましたらご連絡ください。

少し余裕ができたので(2日後)、メールを送るとどんな返信があるのか試してみた。gooメールでアカウントを作成し、再度gmailの転送設定を一時的に有効にしてメールを送信してみる。
これが、返信されたメール。即返信があるので、恐らく返信も自動化しているものと思われる。


From: Kenji Kobayashi <kenji.kobeyashi@yahoo.com>
Thanks,you are a life saver. I need a loan of €850 to cover travel expenses back home,the fastest way to wire money to me is via western union. I will pay back once I am out of Turkey. You can get this done by login on to www.westernunion.com or visit any Western Union agent location close to you

See details needed for transfer below.

Name On My ID: “ここに自分の実名が英字で入っていた”
Address: ‎​Ibni-Kemal Caddesi No: 14-16 Sirkeci, Fatih, 34400 Istanbul

You will need to email me the reference number as soon as you make transfer so I can receive money here.
Other than this,how are you doing?
以下受信メールの引用
—–
送信後、約1分で返信されているので、ここで怪しいと気づけるかもしれない。
ウエスタンユニオンに問い合わせたところ、この人物への送金を止めることはできないとのことです。ですが、もし送金してしまっている場合、送金時に番号が発行されるので、その番号をもとに追跡等は行えるとのことでした。

■Googleアカウントの怖さ
ご存知の方も多いと思いますが、Googleアカウントを色々なデバイスで共有すると大変便利です。スマホ、タブレット、自宅PC、会社のPCと。
共有されるデータは設定できますが、デフォルトではブックマークや、ID、パスワードが対象となります。ということは、Googleアカウントが乗っ取られると、ブックマークが見られ、そこにたとえばAmazonのブックマークがあり、それがクリックされるとID、パスワードはGoogleアカウントで共有されているのでログインできてしまう、いわゆるシングルサインオンということになってしまいます。
たいへん面倒でしたが、思い当たるすべてのサイトのIDとパスワードを変更しました。
幸いにして今のところ実害なしです。

■対策
まさか自分がフィッシングにあうとは!と思っていました。恥ずかしながら、業務でICTのセキュリティについて語ったりしています。
この事件で知りましたが、Googleアカウントには二段階認証という仕組みが利用できます。今までに利用したことにない端末から利用する場合に、携帯電話のメールアドレスへ認証コードを送信するというものです。無料でここまでやるとは、Googleは素晴らしいと思う反面、脅威すら感じます。

重ねて、
大変ご迷惑をおかけしました。
もし、被害にあわれてしまった方、ご連絡ください。

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください