表面下：LinkedInメッセージ通知メール詐欺

見た目とは違う

「LinkedInメッセージ通知」詐欺は、ビジネスチャンスを装った欺瞞的なフィッシング詐欺です。この詐欺はメールで届き、ビジネスネットワーキングのプラットフォームとして有名なLinkedInからの公式メッセージを装っています。件名は通常、受信者の会社から製品を購入する依頼など、ビジネスに関する問い合わせを示唆するもので、好奇心と切迫感を掻き立てます。

しかし、洗練された見た目にもかかわらず、このメールはLinkedInや正規の企業とは一切関係がありません。偽のメールログインページから機密性の高いログイン情報を盗み出すために巧妙に仕組まれた罠なのです。

クリックすると何が起こるか

偽メッセージの本文には、LinkedIn のメッセージを確認するためのリンクが挿入されており、クリックすると確認画面が表示されます。しかし、このリンクは LinkedIn にはアクセスできません。代わりに、メールのログイン画面を模倣したフィッシングページが開きます。さらに、詐欺であることを隠蔽するために、Zoho などのサービスのブランドが表示される場合もあります。

ユーザーが認証情報を入力すると、その情報はすぐに詐欺師に送信されます。受信トレイにアクセスした攻撃者は、保存されているメールにアクセスし、接続されたアカウントのパスワードをリセットし、様々な方法であなたの個人情報を悪用する可能性があります。

詐欺メッセージの内容は次のとおりです。

Subject: XXXXXXX - New Message Notification

LinkedIn New Message Notification

Dear Sir/Ma'am,
you've got a message from German Skillet Int'l (Contact Us), details as below:

Sender Name Mr Eduardo

Receiver Email XXXXXXX

whatsapp +34 56** 32** ****

Message Good day,Would like to know more about your product and also your payment terms.

Can you ship to Spain for some urgent trial order?

IP: 85.136.16.76

Country/Region: Spain

Reply Immediately

受信トレイを超えて：連鎖的な影響

メールアカウントは、個人向けからビジネス向けまで、様々なサービスへの入り口として利用されることがよくあります。詐欺師はアクセスに成功すると、すぐに標的を転換し、ソーシャルメディアのプロフィール、クラウドストレージ、オンラインバンキングなどを標的とします。被害者になりすまして金銭を要求したり、詐欺を助長したり、説得力のあるメッセージでマルウェアを拡散したりする可能性があります。

リスクはそれだけではありません。金融プラットフォームに紐付けられたアカウントが乗っ取られ、不正な購入や送金に利用される可能性があります。ほんの数分で、たった一度のミスが複数のサービスに広範囲にわたる被害をもたらす可能性があります。

この詐欺がより大きなパターンに当てはまる理由

「LinkedInメッセージ通知」メールは、数あるフィッシング詐欺の一例に過ぎません。他にも、返金を申し出たり、アカウントのセキュリティ問題を警告したり、予期せぬ特典や相続を告知したりするものがあります。これらに共通するのは、ユーザーを騙して緊急性や機会を作り出し、機密情報を入手しようとする、欺瞞を根底とする戦略です。

詳細はキャンペーンごとに異なりますが、根本的な目的は一貫しており、アクセスを獲得し、被害者を搾取し、侵害が検出される前に先へ進むことです。

詐欺師が欺瞞を働く方法

これらの詐欺は通常、スパムメールを介して配信されますが、受信トレイだけにとどまりません。同様のフィッシングリンクは、ソーシャルメディアのメッセージ、フォーラムのダイレクトメッセージ、さらにはテキストメッセージ（SMS）にも見られます。これらのメールは大量に作成され、侵害されたサーバーや不正な広告ネットワークを通じて配布されることがよくあります。

メールやメッセージが説得力を持つほど、成功する可能性が高くなります。詐欺師は、ユーザーの警戒心を解くために、信頼できる企業のトーン、レイアウト、ブランドイメージを模倣することがよくあります。

マルウェアとフィッシング：危険な組み合わせ

フィッシング詐欺はマルウェアの拡散と密接に関連しています。スパムメールには、開封すると感染を引き起こす添付ファイルやリンクが含まれていることがよくあります。これらの添付ファイルは、請求書、レポート、その他のビジネス関連文書（PDF、DOCX、ZIP、さらには実行ファイルなど）に偽装されている場合があります。

場合によっては、ユーザーがマクロを有効にしたり、埋め込まれたリンクをクリックしたりしないとマルウェアが起動せず、欺瞞の層がさらに厚くなります。これに成功すると、マルウェアはデータを盗み出したり、スパイウェアをインストールしたり、さらなる攻撃のためのバックドアを開いたりする可能性があります。

安全を保つためのベストプラクティス

LinkedInのメッセージ通知フィッシングメールのような詐欺を避けるには、常に注意を払い、デジタル衛生を徹底することが不可欠です。アカウントを安全に保つための簡単な対策をいくつかご紹介します。

• リンクをクリックする前に送信元を確認してください。LinkedInからの公式メッセージは信頼できるドメインから送信されます。
• リンクの上にマウスを移動して、実際のリンク先を確認します。LinkedIn のドメインと一致しない場合はクリックしないでください。
• すべての重要なアカウントで2要素認証（2FA）を使用してください。たとえ認証情報が盗まれたとしても、2FAによって保護層がさらに強化されます。
• 緊急のメッセージや予期しないメッセージ、特にログイン、パスワードのリセット、機密情報の閲覧を求めるメッセージには注意してください。
• 添付ファイルやソフトウェアは、既知の信頼できるソースからのみダウンロードしてください。

最後に

「LinkedInメッセージ通知」詐欺は、デジタル世界において信頼がいかに容易に操作されるかを改めて思い起こさせます。これらの攻撃は複雑なハッキングに頼るのではなく、好奇心、野心、そしてルーティンといった人間の本質を悪用します。

フィッシング詐欺をかわす最も効果的な方法は、常に情報を入手し、用心深くいることです。見慣れないメッセージには疑問を持ち、クリックする前に時間をかけて確認することで、あなたの情報とそれを狙う者の間にバリアを築くことができます。結局のところ、デジタルセキュリティは意識することから始まります。