【実録】三井住友カードをかたる「フィッシング詐欺サイト」へアクセス！→「.cn」ドメインで個人情報を抜いて、最後は公式サイトへ放流するのが手口!?

フィッシング詐欺を目的に、有名サイトをかたるWebサイトが増え続けています。フィッシング詐欺とは、偽のWebサイトへ誘導しクレジットカードなどの個人情報を盗み見る詐欺のことです。フィッシング対策協議会の調査によれば、2023年6月のフィッシング報告件数は14万9714 件で、先月から約3万6000件増えています。   筆者のもとにも、明らかにフィッシング詐欺サイトへ誘導していると分かるメールが多く届いている状況です。本記事では、その中から「三井住友カード」をかたるフィッシング詐欺サイトへアクセスしてみて、どのような感じか確認しました。クレジットカード会社をかたるフィッシング詐欺サイトも、実際に少なくありません。   ※手元のパソコンがウイルス感染などしてしまわないように、安全な仮想環境からアクセスしています。詐欺サイトは危険性があるので、みなさんはアクセスしないようにしましょう。

三井住友カードの請求金額確定通知をかたるメールが届く

筆者のもとに、三井住友カードの請求金額が確定したことを知らせる図表1のような偽メールが届きました。
 
図表1

筆者撮影
 
日本語やデザインに不自然なところはなく、だまされてしまう人も多そうです。ちなみに差出人のメールアドレス最後尾は「.cn」となっていました。「.cn」とは中国を表すドメインです。
 
三井住友銀行が、中国のメールアドレスからメールを送ってくるとは考えられないので、これだけでもこのメールがおかしいことは分かります。フィッシング詐欺を見破るには、このような違和感が重要となります。
 

メールに記載のリンクへアクセスしてみる

今回はフィッシング詐欺サイトがどんなものか知るために、あえてメールに記載のURLへアクセスしてみましょう。すると、図表2のようにログインを促す画面が表示されました。
 
図表2

筆者撮影
 
三井住友カードの公式サイトと見比べましたが、デザイン的にはほぼ同じでした（「重要なお知らせ」という文字が左寄せか中央にあるかの違いぐらいです）。そのため、サイトの見た目だけでフィッシング詐欺のサイトか見破るのは非常に困難です。
 
ただしアドレス欄をみると、図表3のように明らかに三井住友カードのものとは異なることが分かります。
 
図表3

筆者撮影
 
ただ、アドレスの途中に「account.smba.jp」といかにも本物らしい文字列が入っているのはいやらしいですね。本物の三井住友カード公式サイトは、アドレスが「https://www.smbc-card.com/～」のようになっています。
 
今回は、でたらめなID・パスワードを入力して先へ進んでみましょう（でたらめなログイン情報で簡単に先に進めてしまうのもおかしいのですが……）。
 
図表4

筆者撮影
 
すると、請求金額の確認をするためのログインであるにもかかわらず、図表4のようなカード情報を入力する画面が表示されました。この画面に入力させたカード情報を、盗み取ろうという魂胆（こんたん）なのでしょう。
 
請求金額の確認でカード情報を入力させるのは明らかにおかしいので、フィッシング詐欺サイトであると見抜けますね。ここでも適当な情報を入力し先へ進みます。
 
図表5

筆者撮影
 
住所の入力画面が表示されました。こちらもでたらめな情報を入力し、先へ進みます。
 
図表6

筆者撮影
 
図表6のような3Dセキュア認証の情報まで聞かれました。ここもでたらめな情報を入力して先へ進みます。
 
図表7

筆者撮影
 
前画面で完了を押すと、本物の三井住友カード公式サイトへ遷移しました。請求金額の確認に関する表示はもちろんされません。ただ、本物の公式サイトが表示されているので、フィッシング詐欺にかかっていることに気付かず、再ログインする方も多いのではないでしょうか。公式サイトへアクセスすれば、もちろん請求金額も確認できます。
 

違和感があったら、先へ進まないことが大事

本記事で見てきたように、フィッシング詐欺のメールやWebサイトにはなにがしかの違和感があります。フィッシング詐欺のサイトにだまされないためには、違和感があったら先へ進まないことが大事です。
 

出典

フィッシング対策協議会 月次報告書 2023/06 フィッシング報告状況
 
執筆者：小泉健太郎
FP2級