新手の「パーソナライズド・フィッシング」攻撃

「パーソナライズド・フィッシング」は、不正入手した個人情報を使って、被害者を名指しで狙い撃ちする新しい手口のフィッシング詐欺です。

パーソナライズド・フィッシングとは何か

米国サヨタ(Cyota)社は、電子メールによる詐欺の新手口「パーソナライズド・フィッシング」への警戒を呼びかけました。
パーソナライズド・フィッシングとは、金融機関の顧客リストなどを不正入手して、正確な宛名入りのメールを送信することで相手を信用させ、暗証番号などを聞き出す手法です。
従来のフィッシング・メールは無差別に大量のメールを送るだけでした。しかし、パーソナライズド・フィッシングでは、標的に誤った安心感を与え、成功する確率も高いといいます。そして、従来の手順と同様、標的を偽のウェブサイトに誘導し、暗証番号など、より重要な個人情報を打ち込ませようとたくらむのです。

犯人のねらいは

詐欺犯の狙いは、ATMの暗証番号やクレジットカードのCVV番号など、詐欺犯がまだ入手していない情報で強化することにあります。これらの情報がそろえば、氏名と口座番号だけのセットよりも、オンライン詐欺コミュニティーでの再販価値がずっと高くなるからです。

パーソナライズド・フィッシングを行っている詐欺犯は、組織化されていると考えられています。おそらく、顧客リストを不正入手する担当、フィッシング・メールを配信する担当、集めた個人情報を売買する担当、などに役割分担されているでしょう。
逆に考えると、こうした詐欺グループに個人情報をつかまれてしまった場合、確実に裏のマーケットに個人情報が流れてしまうことになります。注意が必要です。

対策は

対策は、いままでのフィッシング詐欺と同じです。

銀行やカード会社は、メールで個人情報を確認することはあり得ません。
個人情報を入力するサイトでは暗号化通信が行われていることを確認しましょう。
そのサイトのサーバ証明書の発行者を確認しましょう。