ほんの2、3ヶ月前、仕事の同僚がクレジットカードを不正使用され、インドネシアで、日本円で10万円の商品を購入されたそうです。
幸い、クレジットカードが不正使用を検知し、本人のところに「インドネシアで、××の商品を購入しているが心当たりがあるか」と問い合わせの電話が入り、本人は「心当たりがない」と即答したため、クレジットカードが不正使用されたことが判明しキャンセルできたとのことでした。
一体、どのような経緯で日本にいる同僚のクレジットカードが不正使用されたのでしょうか。
心当たりが1点あり、クレジットカード会社から問い合わせの連絡が入る前日、同僚のもとに1通のメールが届いたそうです。
同僚は、iPhoneやMacパソコンを利用しており、アプリのダウンロードなどに必要なアップルIDを所有しております。このアップルIDの有効期限が切れて更新する必要があるためサイトにアクセスして情報を更新してくださいと日本語で書かれたメールが届いたそうです。同僚は現在65歳で、ITスキルについてはスマートフォンやパソコンを使うことはできるが、自分でパソコンの設定はできないくらいのレベルです。
メールに記載された、アップルIDの有効期限を更新するためのリンクをクリックし、開いたページでクレジットカード番号等を入力したそうです。
クレジットカードが不正使用されたタイミングと、この不審なメールが届いたタイミングを考えると、これが原因だったのではないかと考えられるとのことです。
私はそのメールを見せてもらったのですが、一見したところ、確かに、アップルから届いた正規のメールのようでした。ただ、メールに記載されたリンク先URLを調べてみると、アップルが使用しているドメインではなく、見知らぬドメインにリンクするように設定されていました。
これは、アップルのサービスを利用している世界中のユーザーをターゲットにした標的型攻撃メールの典型です。
不幸にも同僚は、パソコンにウイルス対策ソフトを入れておらず、メール受信に使うクライアントソフトがこのメールを迷惑メールとして検知しなかったため、ハッカーの意図した詐欺被害にあってしまいました。