今年流行しているメールを使った詐欺にご注意ください!1月以降、私自身も3回被害に遭いました。この体験談を皆さんにお伝えすることで、皆さんがこの詐欺に遭わないよう、また、メールアカウントがハッキングされた友人や知人に知らせる際の参考にしていただければ幸いです。
まず、もう一度強調しておきます。もしメールのパスワードが強力で固有のものだったら、これらの人々は誰も問題にならなかったはずです。もしメールのパスワードをどこかで使い回していたり、短くて分かりやすいものを使っていたりするなら、今すぐ読むのをやめて、パスワードを変更してください。
新しいメールパスワードは、13文字以上の完全にランダムな文字(iR82dGlQf3&@Cなど)か、ハイフンで区切られた28文字以上の一般的な単語(おなじみのcorrect-battery-horse-stapleなど)にすることができます。あるいは、数字(日付など)と文字(イニシャルなど)を組み合わせて、自分に合った意味を持つパスワードを生成することもできます。どのようなパスワードを選ぶにしても、強力で固有のパスワードにする必要があります。パスワードマネージャーを使用していない場合は、時間の無駄になるだけでなく、安全性も損なわれる可能性があります。
詐欺の進行過程
私が受け取った詐欺メールは、ごくごく身近な人物から送られてきたものでした。ジョンは近隣の都市に住むランナーで、私が主催する陸上競技会に何度か参加していました。私はゼッケン番号の割り当てやレースのアナウンスを担当しているので、彼の名前はよく知っていたので、彼からメールが届いても驚きませんでした。2021年に一度、今後の陸上競技会についてやり取りをしたことがあるからです。しかし、一度しかやり取りしていなかったため、彼のメールスタイルは全く分からず、最初のメッセージに特に警戒感を覚えることもありませんでした。
私は最初のメッセージに一般的な返信をしました。ニューヨーク州北部のランナーが私に連絡する理由はいろいろあったからです。しかし、次のメッセージを受け取ったとき、すぐに警鐘が鳴りました。
ほとんど知らない人にAmazonアカウントを持っているか聞かれる理由が全く分からなかった。そもそも、今さらアカウントを持っていない人なんていないだろう?私は調査モードに切り替えた。上のメッセージからは分からないが、送信者の名前は変わっていないのに、メールアドレスがwindstream.netからyahoo.comに変わっていた。Amazonアカウントに関する奇妙な要求と合わせて、これは詐欺師の仕業だとほぼ確信した。ジョンがパスワードを変更してアカウントをロックアウトした場合に備えて、メールアドレスの変更を利用して私を自分のアカウントに侵入させようとしているのだ。私は詐欺師に話を続け、何が分かるか見てみることにした。
そのメッセージを送った後、ジョンの最近の陸上競技大会の登録番号から彼の電話番号を調べ、彼にテキストメッセージを送りました。幸運なことに、最初のメッセージで彼が私のことを知っているという十分な情報を伝えることができました。予想通り、彼は何が起こっているのか全く知らず、Yahoo!アカウントが彼のものではないことを確認しました。
そろそろどんな詐欺なのか気になってきたので、疑っているふりをしながらも、結局は流れに身を任せていました。それから1、2回メッセージをやり取りした後、詐欺師が300ドルのAmazonギフトカードを買わせようとしていて、後で返金してくれるということが明らかになりました。なるほど、なるほど。
その間ずっと、詐欺師がアクセスできなくなるかどうかを確認するため、windstream.net アカウントにのみ送信するようにしていました。同時にジョンとのやり取りを続けていましたが、ジョンは送信済みメールボックスにも受信トレイにも私からのメッセージは見当たらないと言っていました。これは、詐欺師が何らかの方法で痕跡を隠すために即座にメッセージを削除したことを示唆しています。ジョンはパスワードを変更したと推測しますが、もしそうだとしても、私がwindstream.net に送信したメッセージに返信が届き続けていることから、詐欺師は排除されなかったようです。
Yahoo!が詐欺師のアドレスと、Amazonギフトカードの受け取りに使ってほしいアドレスの両方を閉鎖してくれるのではないかとかすかな期待を抱いていました。しかし、[email protected]に通報しようとした試みは失敗に終わりました。その後、「Yahoo!が支援するPOP接続でTidBITSのフォーマットエラーが発生する」(2022年1月26日)でこの問題に触れた後、推奨されているWebフォームからYahoo!に連絡しようとしましたが、これもやはり失敗に終わりました。
この時までに、私は詐欺師と会話を続けるために何度かメッセージをやり取りしていましたが、結局彼らは諦めてしまいました。このメッセージ以降、二度と連絡がありませんでした。
この話をすぐに書き上げることができず、すぐに忘れてしまいました。ところが1ヶ月後、また同じことが起こりました!ヴァーンとはメールのやり取りをしたことはありませんが、彼は私の故郷のすぐ近くで素晴らしいブルーベリー摘み取り農園を経営していて、前回そこでブルーベリー摘みをしたときに、彼の来客名簿にメールアドレスを残しておいたのです。幸運なことに、彼に連絡するコネがありました。父はかつて郵便配達員をしており、今でも町のほとんどの人と知り合いです。父は父に連絡して問題を知らせることができ、ヴァーンはパスワードを変更し、すべてのメール連絡先に詐欺メールに返信しないよう警告しました。面白いことに、今回はヴァーンの本当のメールアドレスはYahoo!に登録されており、詐欺師は返信を偽のOutlookアカウントにリダイレクトしようとしていたのです。
2ヶ月後、詐欺メールが再び私のメールに届きました。詐欺師は近所の年配のランナーを狙っていました。この件に関しては、ちょうど前日にトムと定期的に一緒に仕事をしている別の友人とトムのことを話していたので、その友人に協力を依頼してトムにパスワード変更を勧めました。
友達を助ける方法
こういったメッセージを受け取ったとしましょう。あまりにも一般的な内容なので、よく知っている人から送られてきた場合は、すぐに詐欺だと気付くでしょう。あるいは、2つ目の例のように、相手をあまりよく知らないので、見知らぬ人がそのような質問をすることは絶対にないというだけで、詐欺だとすぐに分かる場合もあります。一方、厄介な中間点は、1つ目と3つ目の例のように、相手をよく知っているのでメールが届いても驚かないものの、偽物だと確信できるほどではないという場合です。
それでも、確信が持てない場合は返信しても問題ありません。ただ、騙されないように!もしあなたの返信(またはそれ以降の返信)が最初の送信元とは別のアドレスに届いていることに気づいたら、それは詐欺に遭っているというもう一つの兆候です。何が起こっているのかに気づいたら、以下のことを実践することをお勧めします…そして、実践すべきではないことをお伝えします。
- パスワードの変更を勧める:ハッキングされた相手に電話、テキストメッセージ、または予備のメールアドレスで連絡し、メールアカウントのパスワードを直ちに変更するよう伝え、パスワードマネージャーを使って強力で重複のないパスワードを作成するよう勧めましょう。詐欺師は被害者のメインのメールアカウントを完全に掌握しており、すべての警告や不正行為の証拠を削除すると想定する必要があります。
- 他の連絡先への注意喚起を促しましょう。アカウントがハッキングされた本人は、誰が詐欺メッセージを受け取ったかはおそらく分からないでしょうが、以前のメッセージは偽物であり無視するようにと、他の連絡先全員に伝えるよう促しましょう。また、他の連絡先にもパスワードを確認するよう促しましょう。パスワードが脆弱で漏洩した人の知り合いも、同様に脆弱なパスワードを使用している可能性があります。
- 詐欺に騙されないでください。知らない人に頼まれたからといって、決して Amazon やその他のギフトカードを買ってはいけません。(誰かにお金をあげたいなら、TidBITS 会員になってください。)
- スパムとしてマークしない:詐欺師からの最初のメッセージをスパムとしてマークしたり、フィッシングとして報告したりしないでください。これは、侵害されたアカウントから送信された、本質的には正当なメールです。スパムとしてマークすると、今後その人物から届く本物のメッセージもフィルタリングされてしまう可能性があります。
- 詐欺師を通報するのはやめましょう:残念ながら、詐欺師が利用しているメールサービスに通報するのはお勧めしません。目的は良いのですが、時間の無駄になる可能性が高いです。
被害者に警告しやすくするために、被害者にテキストで送ったり、会話のスクリプトとして使用できるサンプル メッセージを以下に示します。
あなたのメールアカウントがハッキングされ、私のような連絡先に詐欺メッセージを送信するために利用されたようです。メールのパスワードをすぐに変更し、強力で重複のないパスワードにすることをお勧めします。できればパスワード管理アプリをご利用ください。また、連絡先の方々にも詐欺メッセージを無視し、パスワードの安全性を確認するよう促してください。
最後に、インターネットに詳しくない友人がいる場合は、これらの話を共有して、詐欺に遭ったりアカウントが侵害されたりする可能性を回避できるようにしてください。