Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

チャリティ詐欺は人の脆弱性を突く

マイナビニュースに気になる記事がありました。

news.mynavi.jp

偽「国境なき医師団」による個人情報収集に注意

NGO団体「国境なき医師団」の関係者を装って、金銭をだまし取る詐欺が確認されている。今回の案件では、同団体の医師を騙って偽の投資を勧誘し、り70代の女性が金銭をだまし取られたとのこと。

別の案件では、ソーシャルメディアのメッセージサービスなどを利用して同団体の関係者に偽装。個人情報を聞き出そうとしたり、個人的な資金援助を求めてくる

同団体はこれらの案件に対して注意喚起を行い、不審な勧誘などがあった場合は直接「国境なき医師団」に問い合わせるよう呼びかけている。

マイナビニュース記事より引用)

 

◆キタきつねの所感

「人の脆弱性は古くから攻撃者が狙ってきています。一昔前は電話か対面で騙すソーシャルエンジニアリングが盛んだったのですが、ネットが発達した現在では、人を騙す手法にネットサービスを組み合わせるようになってきました。ビジネスメール詐欺であつたり、標的型攻撃、振り込め詐欺SNSでのポイント交換不正なども、こうした人を騙す手法が取り入れられています。

 

今回の記事を見て、街頭募金詐欺ソーシャルエンジニアリングの手法が出てきている事が危ないなと思いました。

街頭募金(対面)において、赤い羽根共同募金あしなが育英会、歳末たすけあいといった名が知れた団体の名を語って偽装する事は難しいと思いますが、人の善意(チャリティ意識)に漬け込んでいる可能性がある、怪しげな街頭募金も世の中には存在し、たまに事件の記事が出てきます。

募金詐欺容疑、2件2人逮捕 警視庁 :日本経済新聞

「心臓手術のため募金」は伯母の虚偽発表 - 産経ニュース

娘の治療費募金詐欺で逮捕の夫婦に「性的搾取」の疑い スペイン 写真1枚 国際ニュース:AFPBB News

 

すべての団体が悪いことをしている・・・という事は勿論ないと思いますが、「恵まれない人たちへの募金をお願いします」で募金をした対象が、実は目の前の人(学生や無職の方々)だったという詐欺ケースも過去のはあります。

因みに私は、街頭募金は「特定の時期に実施する」「古くから活動しているのを知っている団体」にしか行いません。赤い羽根募金で該当に立っている子供たちやボーイ/ガールスカウト(のユニフォーム)まで偽装して該当に立つ方はいないと思いますが、怪しげな街頭募金/寄付のお願いは・・・立っている人の目つきが怪しかったり団体名の問い合わせ先(住所や電話番号)が書かれてないポスターを使ったものであったり、、実際はどうかは知りませんが、怪しげな要素を感じることがあります。

 

参考:

itbengo-pro.com

しかし、今回はネットを使って著名団体、「国境なき医師団」を装った詐欺、日本人ボランティアも居るのですが、国際的な活動故に、その実態がよく知られて無いために、詐欺の対象として丁度良かったのかも知れません。

 

国境なき医師団のHPを診ると、今回の事件に関係していると思われる注意喚起が出ていました。

 

■注意喚起(7/6)

 国境なき医師団をかたる不審な勧誘にご注意ください

 

<不審な事案の特徴>

米国人医師を名乗る男が、フェイスブックで友達申請。偽造したIDカードの画像を送信し、薬などを購入するためとして、数十万円を要求した。不自然な英語と日本語
米国人医師を名乗る男が、フェイスブックで友達申請。スーツケースの受け取りを依頼し、個人情報を聞き出そうとした。報酬も持ちかけた。
シリアに派遣されている医師を名乗る男が、リンクトインでつながりを申請荷物の預かりを依頼。税関で必要な費用だとして、数十万円を要求
医師を名乗る男が国外退避に必要だとして、書類への記入を要求し、個人情報を聞き出そうとした。

国境なき医師団HPの注意喚起より引用)

 

騙す側も色々と考えるものだなと思いますが、人を騙す基本的な部分はソーシャルエンジニアリング(攻撃が流行った時期)からあまり変わってないようです

電話やFaxや対面での攻撃が、電子メールやSNSにシフトしているのであって、初期攻撃に関して言えば知らないメールへは返信しない、添付ファイルを開かない、リンクは踏まない(※HTML形式での受信では無く、テキストメール受信設定にしておくと本当のリンク先が怪しいのが気づけるかも知れません)といった基本的な対策を意識しておけば、被害を受ける可能性は極小化されます。

もし、貴方の善意(募金や寄付)を活かしたいのであれば、直接そうしたボランティア団体のHP(オフィス)に行き、振込み先を確認すれば、きっと騙されることなく、最善の結果につながると思います。

 

人をまず信じない(Untrust)

 

残念な事ではありますが、セキュリティ対策上はこれが正しい事が多いのです。

 

 

ウェーディングのイラスト

 

更新履歴

  • 2018年9月2日AM(予約投稿)