まず、前提として、知らない人物からのメッセージ(メールやSMS/MMS、iMessage)に含まれるURLは、決してタップしてはいけません。一般常識として、突然来訪した知らない人物を家に招き入れたりしませんよね? それと同様、URLのタップはメッセージの送信者を信用することと同義ですから、安易なタップは厳禁です。
面識のない/正体が定かでない相手からのメッセージを信用するのは、危険極まりないことです。もっともらしい内容、たとえば宅配便の不在通知を知らせる文言にURLが添えられていれば、そのURLに何か意味があると考えてしまいそうになりますが、個人情報を引き出すための罠かもしれません。というより、知らない相手(電話番号/メールアドレス)からのメッセージであれば、それはほぼ確実に罠です。
実際、宅配業者を装うメッセージに添えられたURLからApple IDを抜き取られる事件が相次いでいます。独立行政法人 情報処理推進機構の情報によれば、iPhoneユーザ向けに送信された宅配便業者を装うSMSに添えられたURLをタップすると、Appleの偽サイトへ誘導され、そこでApple IDやパスワード、携帯電話番号などの情報を訊ねられ、アカウントが乗っ取られる被害が相次いでいるそうです。
アカウントが乗っ取られると、登録したクレジットカードで勝手に買い物されるなどの金銭的被害が生じます。携帯電話番号と認証コードを入力した場合には、キャリア決済で買い物されてしまう可能性もあります。被害にあったApple IDは初期化しなければならず、苦労して育てたゲームアプリのキャラクタも消えてしまいます。
幸い、URLをタップし偽サイトに誘導されても、何も入力しなければ物的な被害を受けることはありませんが、危険なことに変わりありません。SSL証明書の取得コストが低下した現在、SSL化された(URLが「https」から始まる)WEBサイトは安全ということもありませんから、URLで見分けることも危険です。とにかく知らない人物から送られてきたURLは完全スルー、これに尽きます。
・独立行政法人情報処理推進機構セキュリティーセンター 「宅配便業者をかたる偽ショートメッセージに引き続き注意!」