技術メモ・ガジェット・自動車、ちょっとだけお金・投資に関する話も出来たらいいなぁ~って思っているライフハック系・雑記ブログです。

お金・投資

仮想通貨をやってる人なら知ってて当たり前!?フィッシングサイトの対策と見分け方

投稿日:

仮想通貨_フィッシングサイト_対策_00

 

どうも、養分イナゴ投資家の白夜霧(@KiRi_Byakuya)です。

皆さん、仮想通貨で儲けてますか?私は現状真っ赤です\(^o^)/エライコッチャ!

 

今回は仮想通貨だけでなく、Amazonや楽天などのインターネット経由で商品を購入する人なら絶対に知っていて欲しい、フィッシンサイト(詐欺サイト)への対策と見分け方についての記事となります。

 

ネットで商品や情報を購入するのが当たり前になっている昨今では、必要最低限の知識です。

色々とややこしい内容ですが、ネットを利用している以上、他人事とは思わず読んで頂けると幸いです。

 

Contents

最低限知っておくべき!フィッシングサイトの見分け方と対策

仮想通貨_フィッシングサイト_対策_13.jpg

 

余談終了。では本題へ。

コインチェック事件だけではなく、仮想通貨関連の詐欺やフィッシングサイトの被害に関するニュースを良く目にしますが、今後の仮想通貨の発展と比例してこちらの被害も増えていくことでしょう。技術の発展と共に仮想通貨そのもの、かつ取引所のセキュリティも年々高くなっていくとは思いますが、人が関わっている以上、完璧はありえません。

 

今回は少しでも、自分自身の知識で怪しいサイトやメールを回避・無視の判断が出来るように、最低限知っておいて欲しいフィッシングサイト対策と迷惑メールの対策をご紹介します。

 

そもそもフィッシングサイトとは? / フィッシングサイトの見分け方と対策

仮想通貨_フィッシングサイト_対策_01.jpg

フィッシング(英: phishing)とは、インターネットのユーザから経済的価値がある情報(例:ユーザ名、パスワード、クレジットカード情報)を奪うために行われる詐欺行為である。典型的には、とにかく信頼されている主体になりすましたEメールによって偽のWebサーバに誘導することによって行われる。

引用元:Wiki フィッシング(詐欺)

語源については諸説ある。"fishing"(釣り)のハッカー的なスラング(Leet的言い換えと呼ばれる意図的な同音別表記)であるが、fがphに変化しているのは"en:Phreaking"(フリーキング、音声によって電話網を意図的に誤作動させる不正行為)からの類推であると欧米では考えられている。しかし、日本国内のメディアでは"sophisticated"(洗練された)との合成語であるとする見解が主流である。

引用元:Wiki フィッシング(詐欺)

 

URLを目で見て確認する。/フィッシングサイトの見分け方と対策

仮想通貨_フィッシングサイト_対策_25.jpg

 

基本中の基本ですが、これが一番大事です。

極論ですが最終的には「これしかない」と思ってもいいです。

 

SSLは導入されているか?

仮想通貨_フィッシングサイト_対策_12.jpg

 

初見のサイトではこれが一番重要。

特にショッピングサイトなどのアカウントを作成し、ログインする必要のあるサイトでは確認必須。

ログインページにSSLが導入されていない、というのは怪しさMAXなので要注意。

 

判別ポイント

  • URLの先頭の「http」が「https」になっているか?
  • ブラウザのURLの部分に鍵マークアドレスバーの表記が緑色になっているか?

 

但し、鍵マークと緑表示については各ブラウザによって異なります。

自分の使っているブラウザでは、どのように表示されているのか?』を良く見て覚えておいて下さい。

 

このブログもSSLを導入しているので、今この記事を読んでいる人はURLが表示されているアドレスバーをよく見て覚えましょう。

 

そもそもSSLって何よ?

仮想通貨_フィッシングサイト_対策_23.png

 

そもそも「SSLって何よ?」って思う人も多いと思います。簡単に言えば『盗み見・盗み聞き対策』です。

 

SSLは『Secure Sockets Layer』の略。

例えば、Amazonや楽天で商品を購入する際、必ずログイン操作をすると思いますが、ログイン時に入力するメールアドレスやパスワードは、ログインボタンを押すとAmazonや楽天のサーバーに送信され、アカウント情報が確認されます。

その送信データ(メアドとパスワード)を仮に送信中に盗み見・盗み聞きされても大丈夫なように、送信データを暗号化して送受信する通信方法をSSLと言います。

暗号化されたデータ(メアドとパスワード)を盗まれたとしても、盗んだ側は復号化(暗号化の解除を)しないと使えません。暗号化されたデータの復号化はサーバー側、今回の例で言えばAmazonや楽天のサーバーでしか原則不可能なので盗まれても問題なし、ということ。

 

糸電話で例えるなら、第三者が勝手に糸を引っ掛けて会話を盗み聞きしようとしても、自分の知らない言語での会話なので、内容がちんぷんかんぷん。という状態。

 

URLは世界に一つだけ。だけど・・・

pink-roses-2533389_640.jpg

 

各サイトの住所となるURLは世界に一つだけです。

私のサイトで言えば「kiri-log.com」は、このブログのためのものであり、同じURLのサイトは存在しません。

 

ただややこしい事に、紛らわしいURLは存在・作成が可能です。

例として、一番ややこしいのは2と3あたりだと思います。3については見間違える可能性大。

1kiri_log.comハイフン「-」がアンダーバー「_」
2kiri-log.xyzドメインが「.com」が「.xyz」
3kiki-log.com「kiri」が「kiki」
4kiri-log.comドメイン以外全部全角文字

 

残念ながら『ややこしいURLをつけるなよ!』なんて文句は言えません。

一文字違えば、違うサイトのURLという認識になります。

 

実際にあった仮想通貨関連のフィッシングサイト

cryptocurrency-3085139_640.jpg

 

公式サイトのURLに似せたURLを使ったフィッシング(詐欺)サイトについては、仮想通貨をやっている人なら一時期騒ぎになった「Coincheck」「COMSA」「Binance」の件が記憶に新しいと思います。

 

coincheck

コインチェックはURLの間にハイフンが入ったフィッシングサイトが発生。

本物ニセモノ
coincheck.comcoin-check.com

 

COMSA

COMSAは、トークンセールの時に偽サイトが作成され、およそ被害額は1900万にもなったそうです。※偽サイトは未だに存在しています。アクセスしないように。

本物ニセモノ
tokensale.comsa.iotokensale.cornsa.io

 

Binance

Binanceではこんな感じ。※ニセはページを開くとアドレスバーの表記が変化。

本物ニセモノ
www.binance.combinance.com(xn--inance-hrb.com)

 

見た目だけのサイトなんて簡単に作成可能

仮想通貨_フィッシングサイト_対策_09.jpg

 

例えば、こんな感じ。

https://www.binance.com/

 

どうですか?ちょっとはびっくりしましたか(゚∀゚)?

最初にしっかりとURLを見ましたか?

 

まぁ偽サイトの中では一番杜撰な例となりますが、上記のリンクを開くと表示されるのは全部画像です。

単純に本家のスクショをとって、それを貼り付けただけ。

 

こんなものに騙されるかよ(゚д゚)!って思う人も多いと思います。

ただ、例えば仮想通貨の場合。価格が大暴落して「損切りしなきゃ!」と焦っている人には、こんな杜撰なサイトでも騙される可能性があります。

 

焦ってる時にURLなんて一々確認しないしないですし、すぐにログイン画面に行こうとするでしょ?

上の偽サイトもログイン画面を作って、TOPページにログインへのリンク貼り付ければ、詐欺サイトの出来上がりヘ(゚∀゚ヘ)アヒャアヒャ

 

一応明言して置きますが、偽サイト・フィッシング(詐欺)サイトの作成を助長するつもりで上記を記載したわけではありません。

どんな素人でも完成度を求めなければ、少ない労力で自力で作れるのが今の御時世です。それだけ身近に罠があるかもしれない!ということだけは自覚して下さい。

 

今更だけど、これBinanceに怒られるかな?ちょっと不安になってきた・・・(;一_一)

 

「二段階認証してるから安心!」なんてまやかしです。

仮想通貨_フィッシングサイト_対策_15.jpg

 

二段階認証を設定しているから大丈夫!と思っている人も多いと思いますが、今はそうでもありません。

確かにパスワードを盗まれたとしても、二段階認証があればアカウントの不正使用を防止できます。

仮想通貨を取引している人であれば、取引所での二段階認証の設定は必須です。

 

但し、騙されてフィッシングサイトへログインしてしまった時は話が別です。

メールアドレスとパスワード、かつ二段階認証の値を入力してログインボタンを押す。

その瞬間、入力されたアカウント情報を使って盗んだ側が公式へログイン。所持している仮想通貨を全て別の口座に送金されます。

 

結局の所『今、ログインしようとしているサイトは本物か?』を自分で判断できなければ、二段階認証を設定していた所で無意味です。

 

リンクを開く前にURLを確認する方法 / フィッシングサイトの見分け方と対策

仮想通貨_フィッシングサイト_対策_07.png

 

皆さんは日頃からなんの疑問にも思わずに、ブログやSNSに貼り付けられている文字のリンクや画像のリンクをクリックして、別のページを開いていると思います。でもこれってよくよく考えると、意外とリスクがある行為です。

 

文字のリンクは書いてあるURLとリンク先のURLが異なる可能性もあります。

画像リンク場合は、商品画像や可愛い女の子の画像につられてクリックしたら変なサイトに飛ばされてしまう、という可能性もあります。

 

それを回避するためにも、リンクを踏む前(新しいページにアクセスする前)にリンク先のURLを確認する方法を知っておいて下さい。

 

リンク先のURL確認方法:パソコンの場合

パソコンの場合については殆どの方がご存知だとは思いますが、リンクに対してカーソルを合わせるだけでブラウザの左下にURLが表示されます。

ただ、これはSSLの時と同じようにブラウザによって表示方法が異なる可能性があるため、是非この機会に確認してみて下さい。

 

確認して見よう!

下記リンクにマウスカーソルを合わせて、画面左下を見て下さい。

確認用:簡単に痩せられる方法を教えます!むしろ教えてよ!

 

リンク先のURL確認方法:スマホの場合

スマホの場合、パソコンのようにカーソルではなくタッチパネルでの操作となるため、同じ方法は使えませんが確認する方法はあります。

 

意外と知らない人が多いようですが、リンクをタップするのではなく、長押しして下さい。

長押しすることでリンク先を開くのではなく『リンクに対してどうしますか?』というインフォメーションが表示されます。

これもOS(Android / iOS)やブラウザの種類によって表示が異なるため、確認しておきましょう。

但し、アプリ内のリンク(Twitterとか)だと見えない・使えないものもあるので注意して下さい。

 

確認して見よう!

スマホで記事を読んでくれている人は、下記リンクを「長押し」して下さい。

確認用:簡単に稼げる方法教えます!嘘です!

 

「URLだけ見てもわかんないよ!」で諦めてはいけません。

仮想通貨_フィッシングサイト_対策_20.jpg

 

URLだけ見たって、良いのか悪いのかわかんないよ!」という人も多いと思います。

確かに、わからない人にとってはURLは英数字の羅列と言っても過言ではありません。ただ、表示されるURLを全て確認する必要はありません。

とりあえず、目で見て確認すべきなのは先頭部分だけでいいです。

 

例えば、Amazonの場合はURLに必ず「https://www.amazon.co.jp/・・・・」と必ず表示されます。私のブログの場合も、URLは「https://kiri-log.com/・・・」と表示されます。

 

基本的に公式サイトであれば、ドメイン名はサイトの名前と同じ(または省略名)になっていることが多いです。

よって、URLを確認する時は末尾まで確認する必要はありません。確認するのはSSLの「https」とドメイン名(例:kiri-log.com/・・・)の部分だけをとりあえず見て確認して下さい。

 

ただ上記にも記載した通り、間際らしいURLを使ったフィッシングサイトの可能性も捨てきれません。

初見のサイトの場合は判断が難しいですが、十分に気を付けて下さい。

 

マウスカーソルの変化を見極めろ!/ フィッシングサイトの見分け方と対策

仮想通貨_フィッシングサイト_対策_16.jpg

 

パソコン向けとなってしまいますが、例えばパソコンのフリーソフトを海外のサイトからDLする時などに未だに見かけるのがこんなリンク。

 

パソコンの人はボタンとボタンの間の空白にカーソルを合わせて下さい。

わかりますか?これって2つのボタンのように見せてるだけで、一枚の画像のリンクです。

つまり、どっちのボタンを押しても、同じページを開くことになります。

 

残念なことスマホの場合は見分けるのが難しいですが、パソコンの場合はボタンとボタンの間にカーソルをあわせても、カーソルのアイコンが変化しません。

ちゃんとしたリンクであれば、リンクの上にカーソルを置いた時と、そうではない部分にカーソルを置いた時とでは、カーソルのアイコンが違うはずです。

 

意外と盲点というか、日頃気にしないものだとは思いますが、こんな方法でも判別出来るものもある、と認識して置いて下さい。

 

迷惑メールの対処と注意点!/ フィッシングサイトの見分け方と対策

仮想通貨_フィッシングサイト_対策_27.jpg

 

つい最近ですが、会社で使っているメールアドレスにこんなメールが届きました。

 

Dear *****,

If you don't already own a few coins of something, then surely at the very least, you must have heard about cryptocurrencies.

Bitcoin, the most famous one, minted countless multimillionaires but did you know that altcoins (bitcoin alternatives) are responsible for even more riches?

Among the "big" ones, NEM went up almost 10,000 percent and Ethereum, more than 4,000 percent

Among the small and unknown ones several gained more than 50,000 percent.

To put this in perspective, a small 1,000-dollar coin purchase in one of these small ones could have turned into more than 50 million bucks.

It seems crazy, doesn't it? Well, it's the reality of the cryptocurrency market today.

Raiblocks, a relatively obscure coin at the time, went from 0.20 on December first to $20 by New Year's Eve. It is now in the top 20 largest coins in the world.

All that to say, the next big winner could be found anywhere, and today I believe I've identified the next one.

After spending hundreds of hours looking at hundreds of different coins, I locked down on one specific target.

Swisscoin.

As the name says, this is a coin created and headquartered in Switzerland. It is one of the only coins in the world recognized as legal tender by the government.

Swisscoin is allowed by the Swiss government and has the potential to climb more than 5,000% before the end of January and more than 50,000% before the end of this year.

This is one of those rare buy-and-hold coins which you WANT to own, and hang onto for the long term, much like those people who bought bitcoin at $1 and kept it for 3 years. FYI, bitcoin is trading at $14,000 now. That's an increase of over 1 million percent.

I recommend you consider putting at least a thousand bucks in Swisscoin immediately. This could quickly turn into enough money to buy a new house, or at the very least a new car.

For those of you who already have bitcoins, all you need to do is open an account at coinexchange.io (this is the url/website, and it takes 1 minute to get setup), transfer some btc to your new account and buy SIC (Swisscoin).

For those of you who are still clueless about Cryptos, the process will be a little bit longer but well worth it.

Open an account at a large exchange such as Coinbase dot com or Coinmama dot com, then add some fund using your credit/debit card or Paypal.

That's the fastest way, but you will be limited to a few hundred bucks at most. It should be enough to get you quickly started but consider adding more funds using a bank transfer so that you can really have skin in the game.

Remember, every thousand bucks of SIC you buy today could easily turn into 500,000 by this time next year.

 

残念ながら英語なので私は読めませんが、BitcoinとかNEMとかEthereumとか、見覚えのある単語が並んでいたのでGoogle先生に翻訳して貰った所「スイスコイン(SIC)を買って儲けようぜ!」という内容のメールらしい。へぇ~そんなコイン有るんだ・・・と思っただけで後は特に何もしてません。

 

迷惑メールに対しては、知らない・見覚えのないメールは開かない!添付ファイルは絶対に開かない!は当然として、メール内に記載されたリンクに対しても、上記に記載した方法をそのまま活用できます。

今回はそれ以外で気をつける部分をご紹介します。

 

「配信停止」「解約の際はこちらから」は要注意!

仮想通貨_フィッシングサイト_対策_21.jpg

 

配信停止」と言った文面は、各Webサイトからの広告や通知メールで良く見ると思います。「解約の際は・・・」というのはあまり見かけないかとは思いますが、その分怪しいです。

もちろん全ての広告・通知メールに該当するわけではありませんが、こういった配信停止、もしくはサービスの解約は必ず公式サイトから実施しましょう。

 

知らない・見覚えのないメールであれば尚更で、はっきり言って無視でいいです。

安易にメールでの返信。もしくはメールのリンクから配信停止要求をしようものなら、その要求時に使用・入力したメールアドレスを悪用される可能性があります。

「本人確認のために・・・」とか謳って電話番号を要求するなんてことはほぼありえません。

 

そもそも登録した覚えもないサイトやサービスのメールに対して、わざわざメアドと電話番号を教えるのはおかしい話です(;´∀`)

 

怪しいメールを他人に転送するな!

仮想通貨_フィッシングサイト_対策_04.jpg

 

残念ながらこういったセキュリティ関係など、ややこしく面倒な事に疎い方もいらっしゃいます。

中でも私自身の実体験で一番困ったのは、迷惑メールを「これなに(´・ω・`)?」という文面で転送してくる人です。

信じられない人もいると思いますが、こういうことをやってしまう人もいます。

 

もちろん本人には悪気がなく、純粋な疑問と不安から連絡して来たのだということはわかっていますが、これは非常に危険です。

仮に転送してきたメールがウィルスに感染しており、個人情報や仮想通貨の取引所へのログイン情報が盗まれたら場合、資産を全て盗まれます。あなたはその責任を負えますか?

 

ちなみに実体験の件は結構前の話で、転送した人も私も特に被害はありませんでした。

転送して来たときは電話で説教しましたけど・・・(^_^;)

 

セキュリティソフトは必須!/ フィッシングサイトの見分け方と対策

仮想通貨_フィッシングサイト_対策_19.jpg

 

パソコンやスマートフォンを使っているならセキュリティソフトは必須です。

 

iPhoneだから大丈夫(*^^*)!とか、未だに言っている人が極稀にいらっしゃいますが、ウィルスに感染したパソコンにiPhoneを接続したらどうなるか、想像するのは簡単ですよね?

こういう人ほどフリーWiFiに平気で接続して「通信料節約!」とか言って、外出先でネットショッピングとか仮想通貨の取引とかやっちゃう人がいるので、もうちょっと危険性を感じましょう。

 

特に仮想通貨をやっている人で、ハードウェアウォレットソフトウェアウォレットに通貨を移動させて管理している人はパソコンのセキュリティソフトは必須です。 

 

セキュリティソフトはマルチライセンス版の購入がオススメ

仮想通貨_フィッシングサイト_対策_11.jpg

 

セキュリティソフトを購入するときは、マルチライセンスタイプ(3~5台向け)を購入することをオススメします。

1台向けよりは値段は多少かかりますが、PCだけでなくスマホやタブレットにも使えるライセンスです。

ご家族がいる方であれば、一つのパッケージでまとめられますし、ライセンス更新の際の料金支払が楽です。

 

メーカーがバラバラだと、ライセンス更新のタイミングもバラバラになってしまい、ライセンス更新を忘れてしまう、ということもありえるためマルチライセンスをオススメします。

 

「短縮URL」はセキュリティソフトを使うしかない。

仮想通貨_フィッシングサイト_対策_29.jpg

 

短縮URLはTwitterやLINE、FacebookなどのSNSとの相性抜群で、メッセージの文字数制限時によく活用されています。

ただ、URLでフィッシングサイトを見分けるための確認手段となる「ドメイン名」を確認することが出来ません。それを悪用したフィッシングサイトへの誘導メッセージによる被害も実際に発生しています。

短縮前https://kiri-log.com/warning_phishing_website/
短縮後(URX.NUhttp://u0u1.net/PMM0

 

残念ながら短縮URLに関しては、現状セキュリティソフトによる不正サイトへのアクセスブロック機能を使う以外、対策方法がありません。

 

公衆WiFi・フリーWiFiは使わないほうが良い。

仮想通貨_フィッシングサイト_対策_X1 (1).jpg

 

スマホを利用する中で、電池の次にネックになるのが通信量制限

外出先でデータ通信を節約するために、公衆WiFiを活用している人も多いですが、公衆WiFiの中にはセキュリティを重視していないものも多いです。

 

もちろん大手キャリアのドコモ・au・ソフトバンクなどが提供するWiFiスポットには、十分なセキュリティが施されているとは思います。ただ、飲食店などが提供しているフリーWiFiの場合は注意が必要です。

飲食店が提供するフリーWiFiになりすました、悪意のあるWiFiに接続してしまう可能性があります。

 

なりすましのフリーWiFiに接続してしまった場合。そのWiFiに接続中に行ったネットの閲覧履歴やSNSのメッセージの内容。Amazonや楽天で商品を購入した場合は、ログイン時に使用したメアドとパスワード、かつ住所や電話番号が盗まれる可能性があります。

 

ちゃんとした知識を持っていれば回避することは可能だと思いますが、積極的に利用する場合にはしっかりとしたセキュリティが必要だと言うことだけは、肝に銘じておいて下さい。

 

不正アプリを見分けられますか?

仮想通貨_フィッシングサイト_対策_X2.jpg

 

人気アプリに扮して不正アプリも増えてきました。

不正アプリは主にインストールされたスマホから、個人情報を抜き取り外部へ送信します。スマホはもはや個人情報の固まりです。

かつ、自分の情報だけでなく友人・知人、家族の情報も盗まれてしまう可能性があります。

 

偽アプリは本物のアプリとアイコンが同じだったり、URLのように微妙にアプリの名前が違ったりと手口は稚拙ですが、不注意な人程騙されてしまいます。

不正アプリをインストールしない方法としては、公式のアプリストア(App Store / Google Play)以外からアプリをインストールしない、というのが一番の予防策です。

 

ただ、アプリストアも絶対に安全とは言えません。

もしかしたら、既に不正アプリをインストールしてるかもしれません。全て疑えとは言いませんが、アプリをインストールしたらセキュリティアプリでスキャンすることをオススメします。

 

まとめ / フィッシングサイトの見分け方と対策

書いてあることは基本的なことばかりですが、仮想通貨をやっていなくてもフィッシングサイトの被害にあう可能性は十二分にあります。

是非とも面倒臭がらず、損をしたくないなら最低限の知識として活用していただければ幸いです。

内容的に「全てのサイトを疑え!」的な書き方をしていますが、そういうわけではなく「方法だけは知っておいてね?」という記事であることだけは、御理解下さいm(_ _)m

 

偉そうに色々書いたら1万文字超えた・・・。

-お金・投資
-, ,

Copyright© KiRi-LOG , 2019 All Rights Reserved.