Americanexpressから重要なお知らせという件名のフィッシング詐欺メールが届いたので調査してみました。
Americanexpressなど加入したことがないのですが、存在しないはずのIDとパスワードで第三者がログインしたそうで、ログインを一時停止したよ。再度使用したければパスワードを変更しろという高飛車メールです。
[AMERICAN EXPRESS] 重要なお知らせという件名のフィッシング詐欺メール
重要なお知らせらしいから色々と調べてみましょう。
届いた詐欺メールの文面と体裁は以下のようなものでした。テキストのみのしごく簡単な構成です。これで誰かがフィッシング詐欺に引っかかってくれればめでたしめでたしなのでしょう。腹が立ちます。(-_-メ)
【重要なお知らせ】
あなたのIDとパスワードで第三者がログインした形跡が見つかったため、ログイン一時停止を行いました。ログインするにはパスワードの再設定を行って下さい。
パスワードの再設定
────────────────────────────────
*<注>このメ-ルアドレスは送信専用です。返信をいただいてもご回答できま
*せんのでご了承ください。
──────────────────────────────────
【配信元】
アメリカン・エキスプレス・インターナショナル,Inc.
東京都杉並区荻窪4丁目30番16号ギょピ
いちばん最後にある「ギょピ」ってなんだろう??
それはともかくとして
フィッシングメール本文は「第三者がログインした形跡が見つかったため、ログイン一時停止を行いました。」などとしてリンク先のURLにアクセスさせ、セキュリティ強化の設定とカードの利用再開手続きをするよう仕向ける内容となっています。
リンクをクリックしてみる
いつものように試しにリンクをクリックしてみます。
中央にある「パスワードの再設定」をクリックすると、ブラウザの警告画面がでることもなく、偽のAmericanexpressログイン画面に変わります。
非常に出来が良く、画像下の真正のAmericanexpressログイン画面サイトとの区別がつきません。
偽のAmericanexpressログイン画面、良くできています。
本物のAmericanexpressログイン画面、違いがほとんど無い!
リンクのアドレスは「115.144.69.102」でして、住所検索したところ韓国・ソウルに行き着くようです。
これの真偽は不明です。
適当なID・パスワードでもクレジットカード情報の入力画面に変移
リンク先のニセのウェブサイトでは、まずログイン画面でユーザーID・パスワードを入力し、その後クレジットカード情報や暗証番号を入力することで、クレジットカード情報を搾取されるようになっています。
試しに適当なIDとパスワードを入力したところ、エラーにもならずに下記画面のカード情報の入力画面に移ってしまいました。IDとパスワードは何でも良いようです。
ここにカード情報を入力すると盗まれるという訳なのでしょう。
正規のAmericanexpressログイン画面そっくりに作ってあるので、アメックスのカード所持者は欺されてしまいそうですね。
実際にAmericanexpressのカードを所持していなければ入力する情報がもともとないはずですので欺される可能性はないとは思いますが、それにしてもよく作り込まれていますね。
発信元を調べる
このフィッシング詐欺メールの発信元をしらべる為に、メールヘッダを表示ししてみます。
American Express <●●●@●●●>
[AMERICAN EXPRESS] 重要なお知らせ
宛先:●●● <●●●@●●●>
<00a5d6c2ec19$2ba6c7d3$436b1c16$@xaurifxi.org>
Content-Type:multipart/alternative; boundary=”—-=_NextPart_000_0708_011CB53C.108FF3F0″
X-Mailer:Microsoft Outlook 16.0
Mime-Version:1.0
Received:(qmail 88997 invoked from network); 13 Nov 2020 15:58:42 +0900
Received:from unknown (HELO mgw3.zenno.net) (192.168.0.148) by msv2.zenno.net with SMTP; 13 Nov 2020 15:58:42 +0900
Received:from mgw3.zenno.net (localhost [127.0.0.1]) by mgw3.zenno.net (Postfix) with ESMTP id 573DA1AEB9 for <●●●@●●●>; Fri, 13 Nov 2020 16:02:38 +0900 (JST)
Received:from mgw3.zenno.net ([127.0.0.1]) by mgw3.zenno.net (mgw3.zenno.net [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id lrRws3hskO5U for <●●●@●●●>; Fri, 13 Nov 2020 16:02:38 +0900 (JST)
Received:from xaurifxi.org (unknown [111.72.39.40]) by mgw3.zenno.net (Postfix) with ESMTP id 856001AE9E for <●●●@●●●>; Fri, 13 Nov 2020 16:02:34 +0900 (JST)Delivered-To:●●●@●●●
Return-Path:<wzaanlwm@xaurifxi.org>
X-Envelope:S25R_match
発信元のアドレスはReturn-Pathから「wzaanlwm@xaurifxi.org」であることがわかります。アドレス部分の「xaurifxi.org」をこれも住所検索してみたところ行き先不明となってしまいましたが、
Received:from xaurifxi.org (unknown [111.72.39.40]) のIPアドレス「111.72.39.40」で再度検索したところ、中国・吉安市が出てきました。多分こちらが真の発信地でしょう。
Americanexpressの重要なお知らせが中国から届くとは思えませんので詐欺メール確定でしょう。
[AMERICAN EXPRESS] 重要なお知らせはフィッシング詐欺メール
[AMERICAN EXPRESS] 重要なお知らせはフィッシング詐欺メールです。
リンク先のフィッシングサイトは稼働していますので、カード情報などを間違っても入力しないようご注意ください。
フィッシング詐欺メールへの対応・対策
だんだんと巧妙になりつつあるフィッシング詐欺メール、日頃から騙されないように注意しなければなりません。
悪質なメールではメールを開封しただけで
- ウイルスに感染してしまったり
- 個人情報を抜き取られたり
されてしまうケースもあります。
身に覚えのない件名のついたメールは開封せず即行でゴミ箱行き、そして削除が一番の方法で安心できる方法です。
フィッシング詐欺メールの特徴
無数にあるフィッシング詐欺メールのすべてに当てはまるとはいえませんがちょっとした特徴があるものです。
緊急性をあおってくる
フィッシング詐欺メールは、読んだ人を不安に陥れるように緊急性をあおってくることが多いです。
例えば
- アカウントが停止される
- 料金が未納になっている
- クレジットカードが期限切れ
- 支払いがされていない
などなど、
- 今すぐ対処しなければならない
- そのままにしておくと不利益を受けますよ
といった方向に誘導するために緊急であることを匂わせ不安をあおってきます。
日本語が妙な感じがする
日本語を日常的に使っている日本人から見ると「なんだかおかしな日本語だな」などと感じたら要注意。
第6感という程ではないでしょうが、これはおかしいと感じた印象を信じましょう。
などなど、なんかおかしいな〜といった勘が働くものです。
騙されないようにお互いに注意しましょう。
フィッシング詐欺メールに対する対策
- 身に覚えのない怪しいメールは開封しない
- 開封したとしても不用意にリンクをクリックしたりしない
- ウイルス対策のセキュリティソフトを導入しておく
- パスワードの使い回しはしない
など自己防衛のために細心の注意を払う必要に迫られてきています。
個人情報を盗まれていやな思いや損害を被らないためにも細心の注意を払っていきたいものです。
コメント