三井住友信託銀行をかたる、ショートメッセージ(SMS)によるフィッシングの報告を受けているとして、フィッシング対策協議会が情報を公開した。誘導先のフィッシングサイトは4月10日15時時点で稼働中であるため、引き続き注意が必要だ。
SMSの内容は「【三井住友信託ダイレクト】必ずご回答ください/お取引目的等の確認のお願い。」という文面で、記載されたURLへのアクセスを促すものが確認されている。
誘導先のフィッシングサイトは、三井住友信託銀行のインターネットバンキング「三井住友信託ダイレクト」のログイン画面を装っており、「会員番号」と「ログインパスワード」の入力が求められる。
誘導先のフィッシングサイトのURLは、以下のものが確認されている。これ以外のドメイン名やURLが使われる可能性もあり、注意が必要だ。
メッセージ内のURL
http://rb.gy/●●●●
https://t.ly/●●●●
https://cutt.ly/●●●●
転送先のURL
https://sun●●●●.com/
https://xia●●●●.com/
https://zai●●●●.com/
http://●●●●.duckdns.org/
フィッシング対策協議会は、フィッシングサイトは本物のサイトの画面をコピーして作成することが多く、見分けることは非常に困難と指摘する。その上で日頃からサービスへログインする際は、メールのリンクではなく、普段利用しているスマートフォンの公式アプリやウェブブラウザーのブックマークなどからアクセスするように注意を呼び掛けている。
Androidスマートフォンなどで同じURLを表示すると、不正アプリのインストールへ誘導される場合があると注意を促し、不正アプリをインストールした可能性がある場合は、アンインストールしたり、Google Playプロテクトでチェックしたりするようにとしている。なお、アンインストールなどの詳しい対処方法は、
情報処理推進機構(IPA)が公開している「国税庁をかたる偽ショートメッセージサービス(SMS)や偽メールに注意」に記載の内容も参考にするようにとしている。
三井住友信託銀行でも注意喚起を実施。同社からメールやSMSにより、インターネットバンキングのダイレクト会員番号・ログインパスワード・確認番号(乱数表)の入力を求めることはなく、確認番号(乱数表)の画像送信をさせることもないとしている。
また、電話認証サービスに登録している場合、電話認証が必要となるのは、新しい振込先を指定して振り込む場合と、事前に振込先を登録する場合のみで、銀行口座やサービスの継続利用のために電話番号の入力が必要になることはないという。
その上で、三井住友信託ダイレクトへのログインは、普段よりウェブブラウザーのブックマークか「三井住友信託銀行」アプリを使うようにと呼び掛け、電話認証サービスの登録、振り込み限度額の引き下げも推奨している。