excitemusic

渡米生活日々の備忘録。
by lily_lila
ICELANDia
S M T W T F S
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31
カテゴリ
外部ブログリンク
「渡米生活。(日記)」
もう少し日々のツブヤキに近い内容はこっちに移動しました。
プログラム関係、web関係もそのうちこちらに移します。

「the Gerden of Ethel」
我が家のウサギブログ。
ウサギは、家に連れてきて最初の2週間以内に体調を崩す可能性が高い生き物です。飼う前にご一読を!
ちょっと待って、ウサギを買う前に…
ブログパーツ
トライアルセット
その他のジャンル
記事ランキング
検索
ブログジャンル
以前の記事


PayPalを騙った詐欺メール その2

久々にきました(苦笑)PayPalを騙ったフィシングメールです。
今回は、クレジットカードの情報を入力しろとあります。
フィッシングメールを見抜くポイントはmoreをご覧下さい。

以前の顛末はこちら

以下"More"をクリックすると、ウィルス警告プログラムからの警告が出る可能性がありますが、不正リンク等は既に消去してありますので、閲覧しても危険はありません。
どうやら一部のウィルス発見プログラムはメールの文章そのもので判断しているらしいですね。
下手に不正URLを解析してあぶり出すより、Bayesian Filterでひっかかったメールを一刻も早くデータベースに上げる方が早いのかな?? ちょっとびっくり。




*** THIS IS A PHISHING(Fake) MAIL I GOT May 2nd 2009 !!!
You may see warning message from your security soft, however the mail is already sanitized and safe for reading. DO NOT CLICK any link if you got a similar mail ! ***




Dear valued PayPal® Customer,

Due to recent fraudulent transactions, we have issued the following security requirements.

It has come to our attention that 98% of all fraudulent transactions are caused by members using stolen credit cards to purchase or sell non existant items. Thus we require our members to add a Debit/Check card to their billing records as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. Your Debit/Check card will only be used to identify you. If you could please take 5-10 minutes out of your online experience and renew your records you will not run into any future problems with the PayPal® service. However, failure to confirm your records will result in your account suspension.

We are requesting this information to verify and protect your identity. Federal regulations require all financial institutions to obtain, verify, and record identification from all persons opening new accounts or obtaining ongoing payment services. This is in order to prevent the use of the U.S. banking system in terrorist and other illegal activity. For these reasons, PayPal® will utilize services provided by various credit reporting agencies to verify the information you submit to us.

Once you have updated your account records your pending PayPal® account transactions will not be interrupted and will continue as normal.

To update your billing records please proceed to our secure webform by clicking here.

Thank you for your time,
PayPal® Billing Department.

Please do not reply to this email. This mailbox is not monitored and you will not receive a response. For assistance, log in to your PayPal account and choose the Help link located in the top right corner of any PayPal page.

To receive email notifications in plain text instead of HTML, update your preferences here.

PayPal Email ID PP247 ">log in to your PayPal account and choose the Help link located in the top right corner of any PayPal page.

To receive email notifications in plain text instead of HTML, update your preferences here.

PayPal Email ID PP247




まず、今回は全くPayPalに登録していないメールアドレスに届いたのですぐこいつは嘘だと分かったのですが、正直、PayPal のこの手のメールの頻度を考えると、絶対外部に漏れないメールアドレスでアカウントを作る、というのが一番の防衛手段かと思います。
外部に漏れないだけでなく、簡単に予測されないアドレス、というのも重要ですが……

私はデフォルトでhtmlメールの画像を読み込まない設定にしているのですが(こういうメールに出会った時危険なのと、htmlの画像を読む設定にしておくと、メールを受け取ったことが送り主にバレてしまうからです。例えば送り主がスパマーなら、メールアドレスが生きていることをスパマーに教えてしまうことになります)、このメールにもPayPalのロゴが一番上に貼ってあって、それはPayPalの本物のページに直リンクになっています。
ところが、下のHTMLリンクは、別のサーバーに接続するURLが書かれています。これは、メールの設定で「ソースを見る」とやらないと出て来ないので、多分最初からここに気付くのは難しいでしょう。

そうなると、やっぱり文面で判断せざるを得ないわけですが、、、
以前のエントリにも書いたように、「情報の更新をしないと大変なことになる」と匂わせるような、脅し文句が書かれているものはまず90%くらい疑って大丈夫です。

この例で言えば、次の文章あたりでしょうか?

"However, failure to confirm your records will result in your account suspension. "

もし間違ったクレジットカード情報を入れればアカウント停止になる、と言っているわけですが、普通、企業はアカウント停止とかいう問題に対しては非常に気を遣います。
こんなアカウント保持者全員にばらまくようなメールには、まずそんな強い表現は使いません。
たとえそういう事があるとしても、全員にばらまくのではなく、該当者に個人的にメールを送り、アカウントを停止した理由を非常にモデレートな表現で(つまり、こちらの都合ではなく、あなたの資産を守るための処置です、といったような感じで)知らせてきます。
will result in, というのは結構強い表現です。これがmay result inとか、might result inとかならまだもう少しわかるのですが。
こんな脅しともとれるような言葉を使う企業には、私は少なくとも出会ったことはないですので、まあ十中八九フィッシングとわかります。

"We are requesting this information to verify and protect your identity. Federal regulations require all financial institutions to obtain, verify, and record identification from all persons opening new accounts or obtaining ongoing payment services. This is in order to prevent the use of the U.S. banking system in terrorist and other illegal activity. For these reasons, PayPal® will utilize services provided by various credit reporting agencies to verify the information you submit to us. "

これは結構今迄私が見たなかでも巧みな方かもしれませんね。Federal regularionとかなんか権威的なモノを持ち出して、どっかで聞いたことがあるような論法までくっつけてある。テロリストが使用するのを防ぐため、とか(苦笑)
しかし、最後の一文が怪しいのです。
PayPal® will utilize services provided by various credit reporting agencies to verify the information you submit to us.
要はクレジットカードの情報をIDの代わりに使う、といってるわけですが、企業がクレジットカードの情報を求めるときの気の使い方を考えるとあまりに安直すぎます。
第一、たとえタテマエであっても、カードの情報を使っていいのはそこに取引が存在するときだけです。何かを買うわけでもないのに、クレジットの情報をよこせとメールで一方的に送りつけて来る、なんてのは、まずまともな企業はやりません。

もしかすると、メールに含まれているリンクをクリックすると、身分証明のために、ごく少額(数十円くらい)をカードから引き落とす、とか言って来るのかもしれないですね。「一度だけの確認」とかいって(クリックしてないので知りませんが)。たとえ数十円でも、膨大な数のPayPal userを考えると、騙された人だけでも結構な金額になるかもしれません。
実は、PayPalはこれに似た証明システムを使っています。アカウントを5万以上の取引ができるようにアップグレードするときに、登録した銀行から数十セントくらいを2度引き落とします(アメリカのアカウントの場合)。この引き落とされた数字を正しく確認画面で入力すると、初めてアカウントのアップグレードが完了する、という形です。
このとき引き落とされた少額のお金は、本物のPayPalの場合は勿論PayPalの自分の口座に入り、PayPal残高として使うことができます。

PayPalは、現状、個人でも審査なしでクレジットカード決済を受けられる唯一の手段だと思います。普通、クレジットカード決済代行会社は年間5000円くらい手数料をとり、しかも個人事業主として審査を受ける必要があって、これがなかなか簡単ではないです(以前別の会社でやりましたが、審査に通るまで一ヶ月以上かかりました)。が、私がPayPalでやったことといったら、アカウント取得してビジネスアカウントにアップグレードしただけです。年間手数料もかからないし、審査もありません。
手数料も他のクレジット決済代行会社と比べて決して高くないです。(一番高いものでも0.30USD+3.4%×決済金額、なんか0.3USDが日本円換算だと40円になるみたいなのが微妙ですが。詳細はこちら
唯一、英語でしか決済できなかったのが弱点でしたが、それも遂に日本語対応しましたしね。。

そう言う意味でPayPalは貴重な存在なのですが、その分危険も多いです。
ということで、これからPayPalのアカウントを作る人は、まず簡単にguessされないメールアカウントを取得して、それで登録し、そのアドレスは普段は使わず門外不出にする、というのが一番いい道ではないでしょうか。
[PR]
by lily_lila | 2009-05-03 03:00 | その他
<< xreaのサイトに海外からアク... 洗剤のボトルに住むうさぎの話 >>