スミッシングは、携帯電話を攻撃プラットフォームとして利用するフィッシング詐欺の一種です。犯罪者は、マイナンバーやクレジットカード番号などの個人情報を収集する目的で攻撃を仕掛けます。スミッシングはテキストメッセージやSMSを介して実行されるため、「スミッシング」と呼ばれています。
スミッシング攻撃には、ショートメッセージサービス(SMS)、通称テキストメッセージが利用されます。携帯電話のメッセージアプリで受信したメッセージは、Eメールで受信するメッセージよりも信頼されやすいため、この攻撃は増加傾向にあります。
多くの被害者はフィッシング詐欺を個人的なテキストメッセージと同一視していませんが、サイバー攻撃者はEメールアドレスよりも電話番号の方が簡単に見つけられます。電話番号の桁数は限られているからです。例えば、携帯電話番号は11桁です。
Eメールアドレスと比較してみましょう。Eメールアドレスには文字数制限はありませんが、数字や文字、記号(!、#、%など)を含めることができます。ランダムな11桁の数字を組み合わせるだけで被害者に連絡できるスミッシングは、相手のEメールアドレスを特定するよりもはるかに簡単です。
ハッカーは電話番号と同じ長さの数字の組み合わせであれば、どんな組み合わせでもメッセージを送信できます。ガートナー社の報告によると、ユーザはテキストメッセージの98%を読んでおり、そのうち45%に返信しています。Eメールの返信率がわずか6%であることを考えると、ハッカーにとってテキストメッセージは非常に有効な攻撃手法(攻撃ベクトル)だと言えます。
ハッカーは、テキストメッセージを使い、さまざまな手口で攻撃を仕掛けます。例えば、銀行の担当者になりすまし、個人情報を盗み取ろうとします。メッセージ内のリンクをクリックさせ、偽の銀行ウェブサイトにアクセスさせて、最近の不審な請求を確認するように促すかもしれません。また、メッセージに記載されたカスタマーサービス番号に電話をかけ、不審な請求や不正アクセスされたアカウントについて問い合わせるように要求することもあります。
また、共感に訴える手口で機密情報を収集しようとすることもあります。例えば、台風の被災者救援を装い、慈善寄付を募るメッセージを送ってきます。ハッカーは、リンクをクリックしてクレジットカード情報、住所、そして多くの場合、マイナンバーを入力するように求めてきます。クレジットカード番号を入手したハッカーは、被害者の警戒心を解くために、毎月クレジットカードに少額を請求することもあります。
スミッシング攻撃のもう一つの例として、プロバイダからサービスや機種変更の割引を提案される手口があります。メッセージ内のリンクをクリックすると、偽のプロバイダのウェブサイトに誘導され、クレジットカード番号、住所、場合によってはマイナンバーの確認を求められます。話がうますぎる場合は、詐欺を疑うべきでしょう。
Facebook MessengerやWhatsAppなどの無料インスタントメッセンジャーを利用したフィッシングは、厳密にはスミッシングには該当しませんが、密接に関連しています。ハッカーは、ソーシャルメディアプラットフォームを通じて見知らぬ人からのメッセージを開いたり、返信したりすることにユーザが慣れている現状を悪用します。
実際のフィッシング詐欺と同様に、この攻撃の目的は、パスワードやクレジットカード番号などの個人情報を攻撃者に提供させることです。攻撃者は、これらの情報を入手するためにお得な情報や価値のあるものを提供することがあり、それらのオファーにはクリック可能なリンクが含まれていることがほとんどです。
見知らぬ人から情報を求めるメッセージが届いたら、インスタントメッセージを使ったフィッシング詐欺の可能性が高いと言えます。しかし、すでに知り合いであるかのように装ってメッセージを送ってくる場合もあります。これは、ソーシャルメディアの連絡先のアカウントがハッキングされたり、なりすましされたりした場合によく発生します。