この種の詐欺の全技量は、あなたが最も無防備なときに、ぞっとする一言を目の前に届けることです。「アカウントへの不審なログイン、今すぐ認証してください」「出金申請があります。本人でなければここで取り消してください」。胸がドキッとし、手は頭より先に押してしまう。あなたの口座をハッキングする必要はありません。慌てたあなた自身に、鍵を手渡させればいいのです。この記事を読み終えれば、なぜそれが成功するのか、そしてこの種のメッセージをほぼすべて防げる鉄則が分かります。
- 送信元番号、送信元メール、リンクに表示される文字はすべて偽装できます。「誰から来たか」を見ても意味がありません。
- 一つの鉄則を覚えるだけで十分です。SMSやメールのリンクは一切押さない。口座を確認したいなら、自分で公式サイトに入るか公式アプリを開く。
- 正規のプラットフォームはSMSやメールでリンクを送ってログインや本人認証を急かしたりしません。そうするものは、初期設定でフィッシングです。
まず、よく使われる話術をいくつか
これらは教材の反面教師として覚えておいてください。今後似たものを受け取ったとき、頭の最初の反応が「また来た」になります。どれもほぼ同じリズムを踏んでいます。「あなたの口座が大変なことになっている」という急ぎ事を作り、すぐ対応するよう迫るのです。
これがフィッシングSMS/メールの典型的な姿です
- 「あなたのアカウントに別の場所からの不審なログインを検知しました。安全のため、リンクから今すぐ本人認証を。」
- 「あなたのKYC(本人確認)がまもなく失効します。24時間以内にリンクから再認証を。放置するとアカウントは凍結されます。」
- 「出金申請を処理中です。本人の操作でなければ、ここから今すぐ取り消してください。」
- 「システムアップグレードのため、あなたのアカウントは再有効化が必要です。以下のリンクから認証を完了して利用を再開してください。」
共通点が見えますか。どれも口座に問題が起きたと言い、どれもリンクを渡し、どれもすぐ動けと急かす。とくに「本人でなければここで取り消し」がいちばん陰険です。あなたを「被害者」の役に押し込み、「自分のお金を守ろう」と焦るほど、素直に罠へ入っていくのです。
本当に欲しがっているもの
この種のSMSやメール自体はお金を盗みません。それは「案内人」にすぎず、あなたを次のステップへ連れて行き、肝心の情報を渡させます。よくある2つの行き先があります。
1つ目は、精巧な偽サイトへ誘導することです。リンクを開いたページは本物の取引所とそっくりで、そこにIDとパスワードを入力すると、その情報はリアルタイムで詐欺師の管理画面へ。続いて「認証を完了するため、SMS/Googleの認証コードを入力してください」と表示され、入力すれば認証コードも同期で持ち去られます。詐欺師はその一式で本物のサイトにログインし、出金します。要するに、フィッシングSMSは、あなたを偽サイトの入口へ送り届ける手にすぎません。偽サイト自体がどう成功するかは 偽の取引所とフィッシングサイト をご覧ください。
2つ目は、「サポートに連絡」させることです。直接ログインリンクを渡さず、「サポートの電話/サポートのTelegram」を残し、問題があればここで相談を、と言うメールもあります。連絡した相手は偽サポートで、一歩ずつ送金や認証コードの引き渡しへ誘導します。この経路の結末は 偽サポートと「口座凍結解除」詐欺 をご覧ください。
一目で見分ける:4つの破綻
どれだけ似せても、冷静にこれらを照らし合わせれば、破綻はすべては隠しきれません。
| 破綻 | たいていの現れ方 | どう見るべきか |
|---|---|---|
| 送信元は偽装できる | 番号/メールが公式に見え、偽SMSは公式のスレッドに自動でまとまることも | 誰から来たと表示されても、一律に信頼の根拠にしない |
| リンクのドメインが違う | 公式サイトと表示されるが、実際はスペルが似た、語を足した偽ドメインへ飛ぶ | 表示の文字 ≠ 本当のアドレス。いっそ押さないなら悩む必要もない |
| 切迫感と恐怖を作る | 「24時間以内」「放置で凍結」「今すぐ」「本人でなければ取り消し」 | 急かすほど立ち止まる。催促そのものが最大の警報器 |
| 呼びかけが漠然 | 「お客様」「ご利用者様」で、あなたの具体的な情報に触れない | 一斉送信のフィッシングは、あなたが誰かを知らず、一般的な呼びかけで誤魔化す |
補足:以上は一般的な手口の整理で、教育目的の識別のためであり、特定のプラットフォームを指すものではありません。あるドメインが公式かどうかを照合するには、当サイトの 公式ドメイン照合ツール をお使いください。
一つの鉄則:根本から防ぐ
上の4つの破綻を1つずつ覚えて判断するのは、正直少し疲れますし、詐欺師も細部を磨き続けます。幸い、火眼金睛を養う必要はありません。一つの原則を守るだけで、この種の詐欺の「案内」はそのまま無効になります。
SMSやメールのリンクは一切押さない
誰から来たと表示されようと、どれだけ急かされようと、メッセージのリンクは押さない。口座が心配なら、自分で公式ドメインを手入力して入るか、以前に入れておいた公式アプリを開く、保存したブックマークから入る。そこで本物の通知があるかを見ます。クリーンな入口から入れば見えるのは真実だけ。詐欺師のリンクがどれだけ似ていても、あなたには触れられません。
この原則の良いところは、場面を選ばないことです。SMSの話術がどう変わろうと、ドメインの偽装がどれだけ巧妙だろうと、切迫感がどれだけ強かろうと、「メッセージのリンクは一切押さず、確認は自分で入る」を貫けば、最初から偽サイトへ誘導されようがありません。入る方法を固定して(ブックマーク+公式アプリ)、毎回詐欺師と知恵比べをしなくて済むようにしましょう。
- 取引所の公式ドメインを最初に確認したらブックマークに保存し、以降はブックマークか公式アプリからだけ入る。
- 「アカウント異常/KYC失効/出金待ち確認」のたぐいを受け取ったら、リンクを押さず、自分でサイトに入って確認する。
- どんなページでもウォレットのシードフレーズや秘密鍵を入力させるものは、即・詐欺と判定。取引所は決してそれを求めません。
- 認証アプリの2FAと出金先アドレスのホワイトリストを有効にし、パスワードが漏れても防御線をもう一段増やす。
なぜ正規のプラットフォームはこう連絡しないのか
多くの人がためらいます。「もしこれが本当に公式からなら、押さないと困るのでは?」その不安は完全に手放して構いません。正規の取引所は基本的に、SMSやメールでリンクを送り、押してログイン・本人認証・緊急の異常対応をさせたりしません。
理由は単純です。彼らもフィッシングの蔓延を知っています。ユーザーに自分からクリック可能なログイン/認証リンクを送ることは、「リンクを見たら押す」悪い習慣をユーザーに身につけさせ、かえって詐欺師のなりすましを助けてしまいます。だから本当に対応が必要なことがあれば、正規のプラットフォームはあなた自身に公式サイトや公式アプリへ入らせ、アプリ内の通知で確認・操作させます。言い換えれば、リンクつきで、押してログイン認証を急かすメッセージは「フィッシングだ」として扱えば、本物のメッセージを誤って切ることはまずありません。本物のメッセージは、そもそもそんな姿をしていないからです。
一言の原則
この種のメッセージを判断するとき、誰から来たか、どれだけ急かすかは見ません。一つだけ問います。これは私にリンクを押させ、その後ログインや認証コードを渡させようとしているか。そうなら、フィッシングとみなし、メッセージを閉じ、自分でサイトに入って確認します。
押した・入力した、すぐすべきこと
すでにリンクを押し、IDとパスワード、さらには認証コードまで入力してしまっても、自分を責めないでください。何より速度が大事です。順番に素早く動きます。
自分で本物のサイトに入りパスワードを変える
ブックマークか手入力の公式ドメインから本物の口座に入り(ドメインに誤りがないか確認)、すぐにログインパスワードと資金パスワードを変更します。
見知らぬ端末を外し、APIを取り消す
セキュリティ設定でログイン端末とセッションを確認し、知らない端末をすべて外し、怪しいAPIの承認を取り消します。
出金ホワイトリストと2FAを確認する
出金先アドレスのホワイトリストに見知らぬアドレスが追加されていないか、2FAが付け替えられていないかを見て、あればすぐ取り消して再設定します。
資産を移し、公式に報告する
必要なら資産を自分が完全に管理する安全なアドレスへ早めに移し、アプリ内の公式サポート(SMSの中の「サポート」ではなく)から異常を報告します。
証拠を残し、相談・通報を検討する
そのSMS/メール、リンクのドメイン、操作履歴をスクショして保存します。損失の食い止め、証拠保全、相談・通報の完全な手順は 詐欺に遭った後にすべきこと をご覧ください。日本では消費者ホットライン188、警察相談専用電話#9110 が利用できます。
同じ経路のもう一つの入口:偽アプリ
フィッシングSMSのなかには、ウェブにログインさせるのではなく「新しいバージョンのアプリをダウンロード」させるものもあり、入るのは偽の精巧なアプリです。見分け方は 偽の精巧なアプリ(偽OKX/偽Binance) をご覧ください。
よくある質問
SMSの送信元番号が取引所の公式番号です。信用できますか?
できません。SMSの送信元番号もメールの送信元アドレスも偽装でき、偽SMSはあなたと公式の過去のスレッドに自動でまとまり、隙がないように見えることさえあります。番号や送信者が一致しても、本物の証拠にはなりません。真偽は、何をさせようとしているか、リンクがどこへ向かうかで判断すべきで、誰から来たと表示されているかではありません。
リンクが公式サイトのアドレスに見えます。押しても大丈夫ですよね?
SMSやメールに表示される文字と、リンクが実際に飛ぶ先のアドレスは、まったく別物にできます。画面には公式サイトと書かれていても、押すと精巧な偽サイトに着きます。最も確実なのは、メッセージのリンクは一切押さず、口座を確認したいなら自分で公式ドメインを手入力するか、以前に入れておいた公式アプリや保存したブックマークから入ることです。メッセージのリンクからは決して入りません。
正規の取引所が、SMSやメールでリンクを送ってログインや認証をさせますか?
基本的にしません。正規のプラットフォームは、SMSやメールでリンクを送り、押してログイン・本人認証・緊急の異常対応をさせたりしません。本当に対応が必要なことがあれば、あなた自身に公式サイトや公式アプリへ入らせ、アプリ内で通知を確認させます。ですから、リンクつきで押してログイン認証を急かすメッセージは、誰から来たと表示されても、初期設定でフィッシングとみなしてください。
すでにリンクを押して、IDとパスワードを入力してしまいました。どうすればいいですか?
動作は速く。すぐに自分で本物の公式サイトか公式アプリに入り、ログインパスワードと資金パスワードを変更してください。セキュリティ設定で見知らぬログイン端末をすべて取り消し、怪しいAPIの承認を外し、出金先アドレスのホワイトリストと2FAが変更されていないか確認して、あれば再設定します。必要なら資産を自分が完全に管理する安全なアドレスへ早めに移し、アプリ内の公式サポートから報告します。SMSやGoogleの認証コードまで入力した場合は対応をさらに急いでください。詐欺師は認証コードを得るとすぐにログインと出金を試みます。
1通のSMSに、どの入口から取引所に入るかを決めさせない
フィッシングSMSやメールが成功するのは、ほぼ常に、人が慌てて渡されたリンクを反射的に押すからです。いちばん気楽な防御線は、最初から正規の大手取引所を使い、公式チャンネルから登録し、公式ドメインをブックマークに保存し、公式アプリを入れておくことです。以後どんなメッセージを受け取っても、自分のこのクリーンな入口からだけ入ります。OKXは主流の取引所の一つで、下記の公式チャンネルから登録でき、公式ドメインは okx.com です。
ついでに読みたい
- 偽の取引所とフィッシングサイト — フィッシングリンクの行き着く先は、たいていこの本物そっくりの偽サイトです。
- 偽サポートと「口座凍結解除」詐欺 — リンクを渡さず「サポートに連絡」させるフィッシングメールもあり、相手は詐欺師です。
- 偽の精巧なアプリ(偽OKX/偽Binance) — 「新バージョンのアプリをダウンロード」のSMSで入るのは、たいてい偽アプリです。