メルカリをかたり、フィッシングサイトへ誘導するメールの報告が増えているとして、フィッシング対策協議会が情報を公開した。同サイトは10月6日14時時点で稼働中であるため、引き続き注意が必要だ。
フィッシングメールの件名は、以下のものが確認されている。
メール本文には以下ような複数の内容が確認されている。具体的には「違反行為があった」「ポイントを受け取れる」「メルぺイスマート払いの精算期限が迫っている」「利用を制限している」など、さまざまな理由を挙げ、記載されたURLへアクセスするよう誘導している。
詳細は、下記のメルカリガイドにある【禁止されている行為】をご確認ください。《本人確認の方法》・アプリでかんたん本人確認を実施する
(フィッシング対策協議会の緊急情報より一部抜粋。原文ママ)
すぐに10000円のポイントを受け取ります。このURLの有効期限は30日間です。Webページを開く
(フィッシング対策協議会の緊急情報より一部抜粋。原文ママ)
メルペイスマート払い9月分の利用の清算期限は2021年10月31日(日)です。マイページ内の「清算できます」と書かれたボタンからお支払いいただけます。
(フィッシング対策協議会の緊急情報より一部抜粋。原文ママ)
現在メルカリおよびメルペイのご利用を制限しております。制限理由は、別途ご連絡させていただく内容をご確認ください。
(フィッシング対策協議会の緊急情報より一部抜粋。原文ママ)
メール文面の例(フィッシング対策協議会の緊急情報より)誘導先は、メルカリの会員メニューのログイン画面を装ったウェブサイトで、メールアドレスとパスワードの入力欄が表示される。入力後は、SMSで送信される6桁の認証番号を求める画面が表示される。
誘導先の偽サイト(フィッシング対策協議会の緊急情報より)誘導先のフィッシングサイトのURLは、以下のものが確認されている。このほかにも類似するドメイン名が使われる可能性があるため注意が必要だ。
https://a●●●●.cn/https://info.●●●●.cn/powanhttps://server.●●●●.cn/powanhttps://www.mercari-●●●●.com/
同協議会は、「フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難」とした上で、サービスへログインする際は、メールやSMS内のリンクからではなく、いつも利用しているスマートフォンの公式アプリやブラウザのブックマークらからアクセスするよう注意を呼び掛けている。