フィッシング対策協議会(Council of Anti-Phishing Japan)は2021年11月26日、「フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|緊急情報|au および KDDI をかたるフィッシング (2021/11/26)」において、auおよびKDDIを偽装してフィッシングサイトへ誘導するショートメッセージ (SMS) の報告を受けていると伝えた。
確認されている偽サイトとしては、次のURLが挙げられている(下記以外のURLが使われている可能性もある)。
- https://bit.ly/3●●●●(SMS 内の URL)
- http://●●●●.duckdns.org/(転送先の URL)
- https://●●●●.duckdns.org//(転送先の URL)
報告されている詳細内容は次のとおり。
- 設定した利用料金上限の超過通知や未払金通知を偽装したSMSが送信されてくる。掲載されているURLはフィッシングサイトへのリンクになっており、たどっていく過程で支払いを求められる
- Android スマートフォンなどで同じ URL を表示すると、不正なアプリのインストールへ誘導される場合がある。不正なアプリをインストールした可能性がある場合は、アプリをアンインストールしたり、Google Play プロテクトでチェックしたりする
フィッシング詐欺に使われているWebサイトは正式なWebサイトの内容をコピーして作成されたものと見られ、一見しただけで判別することが難しい。真偽の確認を行うには、SMSに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが望まれる。