とちょっとしたノウハウ, ほとんどのフィッシング詐欺は非常に簡単に検出できます。一方、これは悪魔のように賢いので、注意しないと騙されてしまう可能性があります。
このフィッシング詐欺の手口は単純です。詐欺に光を当てた Wordfence、攻撃者はあなたの知り合いになりすますために電子メールアドレスを作成すると述べています。その後、PDF や Word ドキュメントなどの正当なものと思われるファイルが添付された電子メールが送信されます。添付ファイルをクリックしてプレビューを表示すると、Google サインイン ページにリダイレクトされ、資格情報を入力します。
コツは次のとおりです。これらの添付ファイルは添付ファイルではありません。これらは、ファイルにリンクする添付ファイルのように見えるように設計された埋め込み画像です。偽物Googleのサインインページ。以下の Tom Scott のツイートで、それらがどれほど本物に見えるかの例を見ることができます。
このツイートは現在利用できません。読み込み中か削除された可能性があります。
さらに悪いことに、偽の Google サインイン ページはすべて正常に見えます。ロゴ、テキスト ボックス、キャッチフレーズはすべてそこにあります。唯一の違いはアドレス バーにあり、注意して見ると、そのページが実際には標準の「https://」を含む URL ではなく、プレフィックス「data:text/htyml」を含むデータ URI であることがわかります。しかし、それを見つけられなかった場合、攻撃者はあなたの情報を取得し、それを使用して同じフィッシングメールを連絡先に送信します。
その後、Google は Chrome を 56.0.2924 にアップデートし、このような偽のフォームを簡単に発見できるようにしましたが、この種の詐欺を完全に阻止したわけではありません。 Chrome を使用しているかどうかに関係なく、メールをチェックするときは常に警戒し、目を離さないことが重要です。
