githubから、メールアドレスをverifyしろとゆーメールが来た。
示されたURLをクリックすると、「mails」のところにアラートマークが出ている。どうもこれらしい。
「Verify」とゆーボタンがあるので押す。アラートマークはそのままなので、おそらくverifyのためのメールが来て、そこに書かれたURLをクリックすると… とゆー類の手続きがあるのだろう。とは言え、1時間くらい経過しているのに、まだ何の音沙汰もない。
「メールでverify」の類のことをした直後は、メールのチェックが頻繁になる。届いてなければ、「spamに落ちたかなー」とか思いながらspamフォルダまで覗いたりする。普段見掛けないメールが来るだろうから、ちょっとそれっぽいメールはspamなような気がするものまでチェックしたりする。
つまりどういうことになるかと言えば、
spamやフィッシングへの警戒レベルが下がる
ということになる。普段「spam乙」とか思ってるものまで開いてしまうし、それっぽい送信者であればフィッシングメールまでチェックするだろう。
もちろん、用心していればそういったものであっても、せいぜい「時間のムダ」だけで終わることだ。不用意にメールは開かない、フィッシングは警戒する… 当たり前のことである。でも、メールの送信を依頼したのに届かないとなると、その閾値がちょっとだけ下がる。うっかりフィッシングに釣られてしまわないとも限らない。
仮に私がgithubあたりでフィッシングやるとしたら、
- githubのアカウントを取る(正規なものでいい)
- 何らかのアクションを要求するメールを待つ(別にターゲットはgithubに限らないから待つのもそんなに苦ではない)
- アクションを要求するメールが来たらアクションをして、その時に来るメールを保管
- 2,3を元にフィッシングメールを作る
ってことをやると思う。多分闇雲にフィッシングするよりも、ずっと成功率は上がる。PayPalなんて、しょっちゅうそんなメールが来るものだから、どれが本物のメールなのか、とっさにわからなかったりする。まぁ、リンク先を見て判断するのではあるけど。
まー、そんなわけで「verifyメール」の類は、実はちょっと危険なものなんではないかなーとゆー気がしている。そもそも、「verifyしろよメール」を受け取った時点で、そのメアドは十分信頼出来るメールだと思うのだが。注文書の類を一方的にメールで送って来るのとは違って、「何らかの認証のための手続き」の一部としてメールを使うことは、もうちょっと注意した方が良いのではないか。
PS.
問題のメールは案の定「一次spamフォルダ」で発見された。ここで落ちるのは、発信者や形式がいかにもspamなものだけなんだが…