耕平
2021年に入っても進化が止まらないフィッシング詐欺。過去に楽天カードやJCBカードなどのクレジットカード系のフィッシング詐欺を紹介してきたが、とうとう、アメリカンエキスプレスのフィッシング詐欺が猛威を奮い出した!
しかもサイトが本家と ほぼ見分けがつかないクオリティで、事前に知識が無ければ うっかり騙される可能性が非常に高い。個人的には今年No.1の危険度と思っているほどのレベルなので、潜入レポートと個人情報を抜き取られないための防止策をお届けしたいと思う。
・入口のフィッシングメール
入口となるフィッシングメールは、個人で調査した結果、現在まで2種類確認されているが、実際はもっと存在するだろう。
私(耕平)が受信したフィッシングメールの件名は、いずれも「[American Express]のセキュリティ通知」というものだが、メールの文面が2パターン存在している。
1つ目は「パスワード変更のお願い」と、パスワードの変更を促す内容だ。
こちらのメールだが、よく見ると差出人名が「American Expres」と最後の「s」が1つ足りないスペルミスを犯している。そして本文の中にも1ヶ所、「〜ログイン一時停。止を行いました。」との怪しい誤字も見受けられた。
さらにフィッシングサイトへの誘導リンクが「▼ID情報照会・変更 https://www.amerieanxpress.cn/」とあるが、前述以上にアメリカンエキスプレスのスペルがメチャクチャ。ちなみに最後の「.cn」は中国に割り当てられているドメインだ。
2つ目は「新しい端末からログインがありました」という内容で、具体的なアクセス日時を表示し、不正アクセスの疑いを警告するもの。
こちらは1つ目のメールと違い、誤字は一切見当たらなく、比較的レベル高めのクオリティだが、最後の署名部分が「Copyright (c) PayPay Corporation. All Rights Reserved.」と、アメリカンエキスプレスからのメールなのに、なぜか関係の無い「PayPay」がクレジット表記されている。
次に、個人情報を抜き取るフィッシングサイトを見ていこう。
・フィッシングサイトのクオリティがヤバい!
私は長年アメックスユーザーだが、今回のフィッシングサイトは、そんな私でも一瞬見分けがつかないクオリティだ。
まず、先程のメールをクリックすると……本来であれば、“怪しいサイト” ということで、使っているブラウザから警告が表示される。これは今回に限らず、ほとんどのフィッシングサイトに対して警告してくれる便利な機能だ。
ところが!
このアメリカンエキスプレスのフィッシングサイトは、その警告の表示をすり抜けてサイトに飛んでしまうのである。
そして飛んだ先のサイトは、アメックスユーザーでも何の疑いも持たないような作りになっている。
本物と比べても、一見区別がつかないレベル。
よく見ると、サイト上部のメニューの並びが違うとか細かい違いはあるが、意識して見ないと気づかないだろう。
・内部へ潜入
いよいよ内部に切り込んでいく。今まで数多くのフィッシングサイトを検証した経験から、適当な数字を入れても先に進めることがわかっているので、今回は全て数字の「1」の桁数違いだけで最後まで辿り着けるか試してみた。
そして「ログイン」をクリックすると……
やっぱり入れた。
次に進むために、引き続き「1」を連打して進めていく。「15桁のカード番号」に同じく「11111111」と8桁打ち込み、「4桁のセキュリティコード」に対しては2桁の「11」、カード有効期限は10年先の年月とデタラメな情報を打ち込んで……
「次へ」をクリックしたら行けるのか?
うん、余裕で進めた……。
そして表示された「3桁のセキュリティーコード」には、「1」と1桁で真っ向勝負。その後に表示された「4桁の電話用暗証番号」にも、その後の「変更後の新しいパスワード」にも、ひたすら「1がらみ」で勝負していった結果……
サイトが切り替わり、なぜか「パスワードをリセットしました。」と表示される。そおらくこの時点で個人情報の抜き取りが完了したかと思われる。
そして、サイト内の適当な箇所をクリックすると、いずれも本家のサイトに飛ばされる。
こんな流れで本人も気づかず、サラッと個人情報が抜き取られてしまうような恐怖の仕組みとなっているのだ!
・騙されないために
今までの傾向として、クレジットカード系のフィッシング詐欺の入口であるメールの件名は、不正アクセスなどのセキュリティ関連のものが、ほぼ100%の確率で配信される。
なので、毎回繰り返し注意喚起しているが、この手のメールが来た場合は、絶対にメールからサイトにアクセスしてはならない!
それでも「もしかしたら、不正アクセスされたかも?」と思う人もいるかもしれないので、その場合は速攻でカスタマーサービスに連絡することをオススメする。
また、アメリカンエキスプレスからも公式サイトで注意喚起をしているので、こちらも一読してほしい。
──以上。なにごとも、知っていれば騙されない。知識武装して一人でも被害を減らすために、この記事の内容をシェアしていただければ幸いである。知ることこそ最大の防御である。
参考リンク:アメリカンエキスプレス「あなたを守るために、伝えたいこと」
執筆:耕平
Photo:RocketNews24.
【警告】猛威を振るう「VISAカード」を騙るフィッシングメールのリンクをクリックしてみた / 身を守るために知っておくべきこと
【国民全員が標的】「NHK」を名乗るフィッシング詐欺が横行中!気をつけるべき2つのポイントとは?
【2021年最新版】Amazonを装うフィッシングメール4選 / 偽サイトから個人情報を抜き取る様子も調査してみた
【注意喚起】カード会社を装うフィッシング詐欺のメールにはテンプレートが存在していた!
【警告】「国税庁」を装うフィッシング詐欺が拡大中! 被害に遭わないために知っておくべき2つのこととは?
【天国】錦糸町の名銭湯「黄金湯」に泊まってみた / 昭和と令和が融合した銭湯天国を満喫!
いつも混んでる「焼肉きんぐ」、中国の渡航自粛要請で今なら空いているかも!? 確かめに行ったら…席に着くと同時にピンチが始まった
鳥貴族の食べ飲み放題「トリキ晩餐会(税込3900円)」が思ってたより最高だった / 忘年会に最適だと思った2つの理由
高級レザーパンツ(革パン)を買ったんで、お店で丈詰めしようとしたら「えーっ?」となったんで自分でやった
やばい倉庫じゃないよね…と思いきや「駄菓子屋あひるショップ」はお得と自由があふれるシュールなお祭り空間だった
【本日発売】「ローソンの福袋」(2160円)があまりにパンパンに詰まってて、持って帰るのちょっと恥ずい
中国「渡航自粛要請」から2週間が経った京都市内「祇園」「清水寺」「錦市場」の様子を見に行ってみた
中国の「渡航自粛勧告」から2週間、現在の「奈良公園」で目の当たりにした意外な光景
【中国渡航自粛】ガチ中華だらけの上野・アメ横に行ってみたら → 取材拒否の連続に…
【極論】焼肉って結局ウインナーが一番うまくないか? 「ウインナーだけ焼肉」やってみた結果 …
中国「渡航自粛勧告」から1週間経った、東京・浅草を見に行ってみた
【納得】ガストの「ジョブチューンで唯一不合格だった」メニューを食べてみた → 不合格にする気持ちがわかった
【検証】10年間ほぼ毎日飲んでる「コーヒー」を1週間断ってみたらこうだった
【は?】楽天で見つけた「在庫処分セール半額おせち」を買ってみた結果 → 届いた数日後にブチギレかけた
【雑草対策】カインズで598円「撒くだけで防草できる人工砂」の効果がヤバ過ぎた / お財布にも環境にも優しい超画期的アイテム
【検証】「スタバはどのサイズを頼んでも量は一緒」という動画が出回る → 実際に試してみた
【事故】楽天で買った『訳ありB級フルーツ福袋』を開封した翌日、妻から信じられないLINEが来た「メロンが…」
【警告】イオンカードユーザー必読!「イオンカード」を騙るフィッシング詐欺に潜入したらクオリティがヤバすぎた
【まとめ】被害総額10億円超え! 危険度MAXなフィッシング詐欺3選+番外 / 2021年版
【警告】Paidy(ペイディ)を名乗るフィッシング詐欺が個人情報を抜き取るまでの一部始終を公開 / 騙されないために覚えておくこと
【注意喚起】PayPay銀行を名乗るフィッシング詐欺に潜入した結果…今までに無いパターンに遭遇した
【警告】「ETC利用照会サービス」を騙るフィッシング詐欺が危険! 高速道路利用者はマジで気をつけて!!
【警告】「SAISON CARD Netアンサー」を騙るフィッシング詐欺のクオリティが激ヤバ…セゾンカードユーザーは一読必須!
【激怒】「日本赤十字社」を装って寄付を呼びかけるフィッシング詐欺がかなり悪質!騙されないために覚えておくこと
【注意喚起】PayPayキャンペーンを装ったフィッシング詐欺が横行中! その狡猾な手口とは?
【警戒レベルMAX】MyJCBカードを装った悪質フィッシングメールのリンクをクリックして先に進んでみた / 感想 「カード持ってたら確実に個人情報抜かれてた…」
【歴代最強クラスの危険度】「三井住友カード」を名乗るフィッシングメールがスマートに個人情報を抜き取る様子の一部始終と防衛策を大公開!
【注意喚起】「ANA」を装うフィッシング詐欺が横行中! そして競合のあの他社を名乗る詐欺も…