PayPal フィッシング:「トランザクションの確認」を求めるメールのリンクは開かないで

blog.malwarebytes.com

• レイアウトやデザインなどは本物そっくりな PayPal のフィッシングメールが出回っている

• 件名の例としてあげられている内容:

  • [New Transaction Statements] we’re letting you know : We couldn’t verify your recent transactions
  • [New Activity Statements] [Account Hold] Re : Your payments processed cannot completed

• 内容の一例:

We couldn’t verify your recent transaction Dear Client,We just wanted to confirm that you’ve changed your password. If you didn’t make this change, please check information in here. It’s important that you let us know because it helps us prevent unauthorised persons from accessing the PayPal network and your account information. We’ve noticed some changes to your unsual selling activities and will need some more information about your recent sales. Verify Information Now Thank you for your understanding and cooperation. If you need further assistance, please click Contact at the bottom of any PayPal page.

Sincerely, PayPal

• メール内のリンクをクリックすると個人情報の入力を求めるニセのランディングページにつながる

回避策:

• メール本文の URL は不審かそうでないかなど一切考えず「すべて」クリックしないこと
• 差出人が企業の場合、URL はその企業の公式サイトを検索して正しい URL を確認し、そこからアクセスして送信された内容の有無を確認すること
  • 正規のものなら「マイページ」「お客様ログインページ」などにも同じ内容の通知が掲載されているはず
• PayPal のフィッシングメール転送先: spoof@paypal.com
  • 件名を変更しないこと、メール全体を添付ファイルとしては送信せず、転送すること*1
• メールは受け取っていないが PayPal を騙る Web サイトが見つかった場合も、spoof@paypal.com にその URL を本文に書いて送る www.paypal.com

米国 民主党議員 3 名が新たな侵害通知法案を提出

www.securityweek.com

• Uber、Equifax の大規模情報漏えいをうけたもの
• 提出したのは民主党議員 3 名
• 2015 年に同名の法案が提出されたことがある
• 対象は米国市民
• 法案のキモ
  • 侵害から 30 日以内に情報を通知することを義務付ける
  • 公開を怠った場合最長 5 年の有期刑も
  • NIST と連邦取引委員会 (FTC) がベストプラクティスを編纂
• 「30 日以内」はEU の定めた GDPR が求める 72 時間以内の通知目標と比べると見劣りがする
• 多くの米国企業は GDPR を正しく理解しておらず、自社が GDPR での制裁対象になると認識していないケースも考えられる
• 米国には侵害事件発生時に情報公開を強制するための規制がいまだにない
• 正しい方向への 1 歩ではあるが今後も改善が必要