手口は多様…被害額1500万円も
2018年に、佐川急便を装い「お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました。配送物は下記よりご確認ください」というメッセージとリンクが書かれたSMSによって、個人情報が盗み取られる被害が出た。
また、Amazonをかたり「Amazon prime会費のお支払いに問題があります」と偽サイトに誘導し、AmazonのIDやパスワードを窃取。Amazonアカウントを乗っ取られ、ギフトカードを不正に買われてしまうという被害があった。
ほかにも、2022年には国税庁や税務署など公的機関を装い「未払い税金のお支払いのお願い」などというメッセージで偽サイトへ誘導する事例が確認されている。同年、SMSで「サイト料金の未払いがある」などと要求され、25回にわたって相手が要求する銀行に送金、約1500万円の被害があった。
実際に偽SMSのリンクにアクセスするとどうなるのだろうか。
スミッシングは、スマホのOSによって動作が異なるのが特徴のひとつだ。iPhoneの場合は、本物のサイトと酷似した巧妙な偽サイトに誘導し、ID・パスワードやクレジットカード情報を入力させて盗み取る手口が多い。一方、Androidの場合は、「ウイルスに感染した」などと偽の警告を表示し、不正アプリをインストールさせる。
「不正アプリがインストールされてしまうと、犯罪グループ側にスマホを遠隔操作されてしまいます。携帯電話番号などの個人情報を盗み取られ、スマホ決済サービスの不正利用に使われたという例もあります。
さらに悪質なのは、乗っ取った被害者のスマホからさらに大量のSMSを再送信するのです。これによって犯罪グループは自分の身元を隠しつつ、コストをかけずにショートメールを送ることができる。この被害に遭ったために数万円の請求が来た人もいます」
