0120-021-906 
リアルタイムフィッシング詐欺
攻撃者は正規のメールやサイトを精巧に装って、利用者に認証情報を入力させ、リアルタイムで窃取します。その後即座に正規サイトへのログインを試みることで多要素認証を突破します。
当社では、電子メール等で、お客様のパスワード・取引暗証番号・銀行口座番号等を照会することや、電子メールで ログインを促すことはありません。 事前に当社ログイン画面のURLをブックマーク(お気に入り)登録しておき、そちらからアクセスすることを強く推奨します。
詐欺の手口①:フィッシングサイトに誘導
攻撃者は、金融機関や携帯会社などを装った偽のメールやSMSにより、利用者をフィッシングサイトに誘導します。
偽メールの例とチェックポイント
期限を設けて焦りを煽って手続き・ログインを誘導する
メールを受け取った人の興味をそそるキーワードでログインを誘導する
当社ではいかなる場合も電子メールでログインを促すことはありません。ログインを促すメールは全て詐欺です。
メールから遷移したページにログイン情報の入力フォームがあった場合、それはフィッシングメールです。
絶対に情報を入力しないでください!!
詐欺の手口②:認証情報の窃取
ログインIDやパスワード、取引暗証番号、個人情報の入力を促され、攻撃者に認証情報を盗まれます。
入力を求める画面の例
- 外観は当社のお客様サイトやスマホサイトに酷似していますが、これらはいずれも実際に発見されたフィッシングサイトです。
巧妙なフィッシングサイトでも、ブラウザに表示されるURLを改ざんすることはできません。
ログインをするときなどは、松井証券の正しいURLが表示されているかを必ずご確認ください。
詐欺の手口③:多要素認証の突破
攻撃者は、窃取した認証情報で即座に正規サイトにログインを試みます。
その際に、例えば電話番号認証エラーが表示された場合は、フィッシングサイトにその旨の画面や文言を表示することで、利用者に認証を促します。利用者が電話番号認証を完了すると、攻撃者は即座に再度ログインを試み、不正アクセスを行います。
電話番号認証を促す画面の例
- 外観は当社のお客様サイトやスマホサイトに酷似していますが、以下は実際に発見されたフィッシングサイトです。
攻撃者は②の段階でログインID・パスワードを入手してログインの第一段階を突破していますが、電話番号認証はお客様の登録電話番号から指定の電話番号に電話をかけないと解除できません。
そのため、攻撃者はお客様本人に電話番号認証を解除させ、その隙を突いてログインを試行します。
このように、攻撃者がリアルタイムで認証情報の窃取、ログイン操作を行うことで、多要素認証が突破されるケースが増えています。
電話番号認証・SMS認証は攻撃者からの乗っ取りを防ぐ最後の砦です。
少しでも不審な点を感じたら、ログインの操作を直ちに停止してください!!
0120-021-906 