証券業界で1カ月で1400億円以上の被害が発生してるフィッシング詐欺だが、もの凄く原始的な対策が今後行われそうなので先に書いておく。
それは、「メールやSMSにhttpリンクを貼らない」というめちゃくちゃ原始的な対策。
リンクがあるからクリックしてフィッシングサイトに行ってあれこれしてしまうので、なら金融機関からの正式な連絡メールにはリンクを一切書かないようにすれば、リンクの有無でフィッシングか否かを見分けられる、というものだ。
大昔のインターネットの「HTMLメールは送らない」に匹敵するダサさではあるが、メールのドメインよく見なさいとか、DMarkやBIMIを確認といった、IT専門知識がある人じゃないと敷居が高い見分け方よりははるかに分かりやすい。
課題はパスワード再発行のケース。今までならパスワード再発行用のリンク(セッションIDにあたるエンコード文字列付の長いアドレス)をメールやSMSに貼り付けて送るのが主流だったと思うが、この方式がNGとなる。
パスワード再発行に関しては電話や窓口、郵送による対応になる公算が高い。
マイナンバーのパスワード再発行がネット完結出来ないのが以前かなり叩かれていた記憶があるが、結局このアナログなやり方が日本では最適解なのかも知れない。
振り込み詐欺被害にあった経験上、なんでもネットで完結するのは危ないわ
パスワード再発行用のリンクも、6桁のワンタイム数字コードとかでよくない?
メアドを詐欺側に書き換えられてたら詰む(メールが来ない)という難点があるな