三井住友カードをかたるフィッシングの報告があったとして、フィッシング対策協議会が情報を公開した。同サイトは6月22日13時時点で稼働中であるため、引き続き注意が必要だ。
フィッシングメールの件名は、以下のものが確認されている。これら以外の件名が使われている可能性もある。
- 【重要なお知らせ】三井住友カードご利用確認のお願い
- 【重要なお知らせ】三井カードご利用確認のお願い
- 【三井住友会社】ご利用確認
- 【三井住友会社】本人確認などを措置取らせていただく必要がございます。
- 【重要なお知らせ】お客様の三井住友カードの口座から不正に出金する手口です
- 【三井住友カード】会員様向けWEBサービスのお知らせ
- 【三井住友カード】異常振込入金のお知らせ
- 【三井住友SMBCダイレクト】から重要なお知らせ
- 【重要】<三井住友カード>ご利用確認のお願い
- 三井住友カード緊急通知
- 三井住友フィナンシャルグループからの大切なお知らせ
- 三井住友カード【重要】
- 【三井住友銀行】ご登録お客様情報の定期的な確認のお願いにつきまして
- 【三井住友銀行】契約締結前交付書面兼説明書に関する重要なお知らせ
- 【三井住友銀行】ご利用確認
メールの本文は、以下のような複数の内容が確認されており、カードの利用確認や、登録情報確認のためなどととして、記載されたURLへアクセスするよう誘導している。
【三井カード】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、
予めご了承ください。(フィッシング対策協議会の緊急情報より一部抜粋)
三井住友銀行SMBCダイレクトご利用のお客様
セキュリティシステムを更新のお知らせと登録情報確認のお願につきまして
(中略)
ご確認をいただけないい場合、ご利用の口座に制限がかされる恐れがございますので、
予めご了承下さい。
お客様にはご迷惑ご心配をお掛し、誠に申し訳ございません。(フィッシング対策協議会の緊急情報より一部抜粋)
誘導先は三井住友カード会員向けの「Vpassログイン」画面を装ったウェブサイトで、IDとパスワードの入力が求められる。入力してログインの操作を行うと、「Vpass ID照会・パスワード再登録」という画面が表示され、会員番号、カード有効期限、セキュリティコード、生年月日、カード名義人、電話番号などの入力を求められる。さらに操作を続けると、「お支払い口座の口座番号下4桁」の入力が求められる。
誘導先のフィッシングサイトのURLは、以下のものが確認されている。このほかにも類似するドメイン名が使われる可能性があるため注意が必要だ。
https://●●●●.cn/
https://●●●●.shop/jp
https://●●●●.vip/jp
https://smbc.co.ip.●●●●.com/
https://www.smbc-vpass●●●●.com/
フィッシング対策協議会は、「フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難」と指摘する。その上で、日頃から、サービスへログインする際はメールやSMSのリンクを利用するのでなく、公式アプリやウェブブラウザーのブックマークからアクセスするよう、注意を促している。