eBay Phishing Mail
数年前にcitibankを偽ったフィッシング・メールがきたことがある。今度はeBayを偽ったメールがきた。メールの表示画面をコピーしたのが右の画像(クリックすると拡大される)である。
「あなたのアカウントをレビューした結果、第三者により不正にアクセスされたようであることがわかった。アカウントのセキュリティを保護することがeBayの主要な課題なので、大切な情報にアクセスする機能を一時的に制限しました。アクセス可能にするために下記の処理をしてください。
1.Respond To This Notificationをクリックすると、あなたを認証するページに移動します。
2.認証に必要なすべてのデータを入力してください。」
と書いてある。Respond To This Notificationをクリックすると、eBay User IDとPasswordの入力ページに移動する。このページは、eBay公式ホームページからSign-inしたときのページと見た目はまったく同じである。ところが、接続先が違う。Respond To This NotificationとSign-inをクリックして両方のページを見比べるとわかるが、Sign-inページの右下に錠前のアイコンが表示されている。フィッシング用ページにはない。こ
うしたUser IDやPasswordを入力するページは普通SSLで接続(URLがhttpsではじまり、ステータスバーに錠前マークが表示)されるはずである。しかし、フィッシング用のeBay Sign-inページはSSL接続されていない。さらに、何も入力せずにSign-In-Securityをクリックすると今度はクレジットカード番号、PINを入力するページに移動する。このページもSSL接続ではない。いずれのページへの移動時に「セキュリティ警告」が表示され、「セキュリティで保護された接続でページを表示しようとしています・・・」と書いてあるが実際は保護されていない。明らかに利用者をごまかすための表示である。
こちらが正しいSign Inのページである。URLがhttpsではじまり、ステータスバー(右下)に鍵のマークが表示されている。また、何も入力せずに、正しいSign Inページの中のSign In Securityをクリックすると「 Your sign in information is not valid. Please try again」というメーセージが出る。
巧妙な手口で、よほど注意していないと簡単にだまされる。User IDとPasswordを盗まれたら、eBayにサインインして登録してある個人情報(氏名、住所だけでなくクレジット番号まで)が盗まれて悪用されてしまう。大変な損害を受けることは間違いない。恐ろしいことである。
フィッシングだと気づいたのは、たまたまその問題意識があってかねてから調べていたからである。それでも最初は疑っていなかった。eBayを長く使っていなかったため、UserIDとPasswordを忘れておりすぐにサインインできなかっただけである。昔よく使っていたIDとPasswordを適当に入力すると、アクセプトされクレジットカード番号を入力するページに移動したので不審に思った。アカウントをアクティベートするのにクレジットカード番号まで要求されることはないからである。
それにしてもeBayのアカウントはまだあるのかな?よく使ったのはもう5年以上前である。最初のデジカメやデスクトップパソコンをオークションで買ったのが懐かしく思い出された。