フィッシング詐欺等の被害に遭わないために(コンシューマー編)
フィッシングメールを受け取らない
- ISPメールボックスを使わない
- docomo や au、softbank のキャリアメールを使わない
- 強力なSPAMフィルター、メールサンドボックスに頼り切る
- Chrome、Firefox に頼り切る
セキュリティ対策にリソースを使っている大手サービスを利用する。最も情報が集まっているのは、ブラウザ開発をしている組織である。まぁ、ありていに言えば Gmail に頼ってしまえよ!!という身も蓋もない主張。
他人から送り付けられたリンクを開かない
- SPAM、フィッシングに限らず広告等も含めて、知らん人から届いたURLをそのまま開かない。
- パスワードマネージャーに保存したURLから開く。
- 怪しいメール、すなわち初めての URL、ドメインはレピュテーションサイトで調査する。
- 謎のフォームには入力しない。
- 知らん人から渡されたフォームは偽物だと思え。
上記のことは、要するに「裏取りしろ!」ということである。
金融系サイトは予めアプリを入れておく
- 銀行
- クレジットカード
- 電子決済
- ショッピング
サービスにユーザー登録時に、公式アプリをインストールしておく。 PCではパスワードマネージャーに登録しておく。
正しいサイトだけを使う。
- パスワードマネージャーを使うことで、不要なサイト(騙しサイト)で入力をしない。
情報を入力しない
- 取られて困る情報は(なるべく)入力しない。
- (信頼出来ない)ネットでは、プリペイドカードを使う。
盗られた時に、実生活で困るものは影響範囲を最小に絞って日常生活をすると良いかもね。
(2022/02/02 追加) 絶対死守するアカウントを決める
絶対に守りたい、盗られたくないアカウントを決めておくことで、守りに掛けても良いコストを想像する。
そして、ここで決めた 絶対死守アカウントは、メールやSMSで受け取ったリンクを開いて入力することは絶対にしない。 絶対死守アカウントにログインするときには、必ず自分のブックマークやパスワード管理ツールからログインすると決める。
- スマホやパソコンなどの自分にとって大事なデバイスのアカウント
- Google アカウント
- Apple ID
- Microsoft アカウント
- SNSアカウント、ネット上の自分の人格
- 銀行、クレジットカード、電子マネーなどのアカウント
- 犯罪者が狙っているのは換金できる情報なので、普段は扱う頻度が少ないかもしれないがリスクは非常に高い。その分、サービス提供している事業者はセキュリティに配慮した機能(ログインお知らせ、決済お知らせ、2要素認証などなど)を提供している。すべての機能を活用すること。
- 認証情報を管理するアカウント
- すなわちパスワード管理マネージャーのアカウント
さらに意識高い系になる
以前の日記に書いたように、ハードキー(USB/NFCキー)で FIDO2/WebAuthn に対応した認証を使えるようになる。 kt-nk.hatenadiary.jp
FIDO2認証にすれば、フィッシングによるワンタイムパスワード破りにも対抗出来るようになる。 FIDO2/WebAuthn はスマホをキーにすることも出来るので USB/NFCキーをわざわざ買わなくても使えるようにはなるのだが、鍵となるハードウェアを喪失してしまうと自分のアカウントを取り戻すのが困難にもなるので、USB/NFCキーとスマホを併用することで鍵の喪失に備える事が出来ると思う。 www.nikkei.com