木曜日の午後3時。締め切り前でバタバタしているとき、スマホに1通のメールが届いた。
件名:【重要】ご利用のアカウントに不正アクセスの可能性があります
お客様のアカウントで、普段と異なる場所からのログインが確認されました。 身に覚えのない場合は、24時間以内に下記よりご確認ください。 このままご対応いただけない場合、アカウントを一時停止する場合があります。
→ 【今すぐ確認する】
送信元には、見慣れたサービス名。リンクのボタンは青くて、公式っぽい。 「不正アクセス」「24時間以内」「一時停止」——焦らせる言葉が3つも並んでいる。
忙しかった私は、あと一歩でそのリンクを押すところだった。
「焦り」が、人を騙す
フィッシング詐欺とは、本物そっくりの偽サイトや偽メールを使って、パスワードやクレジットカード番号を盗み取る手口だ。技術的に高度なことは何もしていない。ただ、人間の心理を巧みに突いてくる。
使われる感情は、だいたいこの3つ。
焦り——「24時間以内に」「緊急」「今すぐ」。時間がないと人は確認をさぼる。
不安——「不正アクセス」「利用停止」「異常を検知」。怖いと思うと、冷静な判断が飛ぶ。
信頼——Amazonっぽいロゴ、銀行っぽいデザイン、「公式」らしい文体。見た目を整えれば、人は信じてしまう。
これを「ソーシャルエンジニアリング」という。システムではなく、人間の感情をハックする技術だ。
偽メールの見分け方——冷静になれば、必ずボロが出る
焦った状態で見ると気づかないが、落ち着いて見ると偽メールには必ず粗がある。
① 送信元のメールアドレスをよく見る
「Amazoon」と表示されていても、実際のアドレスが amazoon-support@xn--amazon-n2p.com みたいになっていることがある。本物のAmazoonからのメールは @amazoon.co.jp で終わる。ドメイン部分(@以降)は絶対に確認する癖をつけよう。
② リンクを押す前に「長押し」か「ホバー」で確認する
スマホなら長押し、パソコンならリンクの上にマウスを乗せると、飛び先のURLが表示される。amazoon.co.jp のようで実は amazoon-co-jp.support-login.xyz だったりする。本物のURLかどうか、必ず確認してから押す。
③ メールから直接飛ばず、自分でサイトを開く
「不正アクセスの可能性があります」と言われたら、そのリンクを押さずに、自分でブラウザを開いてAmazoonやGmailに直接ログインする。本当に問題があれば、ログイン後の画面で通知が出るはずだ。
「自分は大丈夫」が一番危ない
フィッシングに引っかかった人に話を聞くと、ほとんどが「まさか自分が」と言う。
詐欺師たちは、ターゲットをITに疎い人に絞っていない。むしろ、忙しい人・疲れている人・「自分は騙されない」と油断している人を狙ってくる。タイミングを選んでいる。夕方、疲労がたまっている時間帯に送ってくることさえある。
完璧に見破れる自信がある人ほど、一度立ち止まってほしい。
騙されてしまったら——慌てず、この順番で
万が一、リンクを押してしまった・パスワードを入力してしまったとしても、すぐに行動すれば被害を最小限にできる。
- そのサービスのパスワードをすぐ変える(本物のサイトから)
- 同じパスワードを使いまわしていた他のサービスも変える
- クレジットカード情報を入力した場合は、カード会社に連絡して止める
- 二段階認証(2FA)をまだ設定していなければ、この機会に設定する
恥ずかしいことではない。世界中で毎日、何百万通もの詐欺メールが送られている。大切なのは、気づいたら素早く動くことだ。
結局、最強の対策は「一秒、立ち止まること」
セキュリティの専門家たちは口を揃えてこう言う。「技術的な対策よりも、習慣が大事だ」と。
怖いメール・急かすメールが来たとき、反射的にリンクを押さない。一秒だけ止まって、「これ、本物か?」と自問する。その一秒が、あなたのお金と個人情報を守る。
コメント