サービス利用のために登録する時、一部のオンラインサービスがユーザーに対し、IDを手にセルフィーをアップロードするよう求めるものがある。身分証明書を持った自分を撮ってアップロードする、後は管理者がアカウントを承認するのを待つだけという手軽なものだが合法的なサイトだけなく、フィッシング詐欺を考える者も関心を持っている。詐欺犯罪者にID付きセルフィーを送ってしまった場合、犯罪者はあなたの名前でアカウントを作ることができれば、例えば、仮想通貨取引所でアカウントを作り、マネーロンダリングに使うかもしれないとカスペルスキーのオウンドメディアKaspersky dailyは、注意喚起している。
メールやSNSなど公式サイトを偽装し、相手にセルフィーを求めるしかけはフィッシングサイトと同じだが、勝手に自分になりすまされ、犯罪容疑がかけられたらたまったものではない。注意すべき傾向は以下の通り。
1.エラーとタイポ(Errors and typos)
よくあるのが、メールとデータ入力フォームがきちんとした文章になっていないケースだ。大企業の公式Webサイトとメールに、文法上のミスやタイポがあるだろうか?
ミスはどんな企業にでも起こりうるものだが、やはり信頼ある企業はユーザーや顧客へ出す文書には注意を払うのが普通だ。ましてや、ユーザーに警戒すべき情報を要求するのであればなおさらだ。
2.送り主のアドレスがあやしい(Suspicious sender address)
ミスの多いメッセージは送り主もあやしい。チェックしてみると、フリーのメールサービスを使っていたり、名乗っている名前と関係ない場合が要注意。
セルフィーに限らずメール送信者を確認することは習慣付けなければならない。多くのオンライン詐欺がメールを最初の入り口にしていることは常に念頭に置いておく必要がある。知らない相手とも手軽に文書のやりとりを可能とするメールは誰とでも繋がる窓口であることを忘れてはならない。
3.ドメイン名がマッチしない(Domain name doesn't match)
送り主のアドレスが合法的に見えたとしても、フィッシングフォームをホスティングするサイトが、あやしいドメインや無関係なドメインのことがある。LinkedInからと名乗るメッセージが、何らかの理由でDropboxに写真をあげるようにと促していれば、すぐにあやしいと気付かなければならない。
4.期限が短すぎる(Excessively tight deadline)
詐欺のメールを作成する人は、"リンクの有効期限が24時間"などとして受け取り側を急かすことが多い。
オンラインに限らず緊急な事態が起きると我を忘れることは誰しもがあること。詐欺をする側は緊急度を演出して疑うことなく入力させようと、このテクニックを使うが、評判の良い企業ならそんなことはしないはずだと、急がせる行為にはより落ち着いてチェックすることを奨めている。
5.すでに提供済みの情報を要求する(Request for information you already provided)
要求される情報(電子メールアドレス、電話番号など)の一部に、すでに登録時に入力したものが入っている場合は、3倍の注意をすべきだと強い警告を促している。銀行など信頼度の高い機関の場合、当然最初の開設時に確認済みの情報になる。
6.オファーではなく要求(Demands instead of offers)
メールではなく、Webサイトの上の個人用アカウントへ促す場合も要注意。リンクから開くフォームではボタンが1つしかなく、セルフィーを送る以外に方法はないと言わんかのように強要する方法だ。あたかも"お願い"ではなく、"要求"するような方法もおかしい。
威圧的態度で有耶無耶にし、相手に入力を強要する手法もこの手のメールの常套手段だが、信頼ある企業が重要な情報の提出を求める際に"居丈高"な対応は怪しいと感じるべきだろう。
7.公式Webサイトには情報がない(No information about it on the official website)
長い間使ってきたリソースであれば、自分のアイデンティティをコンファームしなければならなかったはずだ。だが、例外であって決まりではなく、何が起こっているのかの詳細は公式のWebサイトに記述されていたり、簡単に探せるはずだとしている。
相手から奨められた情報ではなく、検索サイトやブックマークなど自分から相手の情報に辿り着くことも重要だ。"Whois"サービスやGoogleのsite演算子なども知っておくと便利だ。特定ドメイン下の情報を検索する場合は、キーワード site:ドメインで検索できる。日本の公的機関のセキュリティ情報を検索するには"セキュリティ site:go.jp"、特定の企業の情報を探すには企業のドメインを指定する。
これら傾向を踏まえ、カスペルスキーではIDセルフィーを要求される場合の心構えを箇条書きで纏めている。
・自分がすでに使っているサービスがアイデンティティを要求した場合は疑ったほうが良いだろう。そのようなメッセージを無視できないと思うのなら、その企業の公式Webサイトで情報を探すことだ。
・文章の品質を注意深くみてみよう。文法的な間違い、タイポなどがあれば怪しい。きちんとした企業であればそういう文章は送らないはずだ。
・メッセージがどこから来ているのか、リンクがどこを指しているのかに注意したい。企業は公式なドメインからメッセージを送る。例外はWebサイトで説明しているはずだ。アンケート、ログインフォーム、その他の公式なページも通常は公式なリソースにあるはずだ。
・情報の提供に当たって、期限など押し付け要素が強いものにも注意したい。
・疑わしい場合は顧客サービスに問い合わせる。だが、メッセージ内にあるコンタクトに問い合わせるのではなく、公式Webサイトにあるコンタクトに問い合わせること。