耕平
2021年に入っても進化が止まらないフィッシング詐欺。過去に楽天カードやJCBカードなどのクレジットカード系のフィッシング詐欺を紹介してきたが、とうとう、アメリカンエキスプレスのフィッシング詐欺が猛威を奮い出した!
しかもサイトが本家と ほぼ見分けがつかないクオリティで、事前に知識が無ければ うっかり騙される可能性が非常に高い。個人的には今年No.1の危険度と思っているほどのレベルなので、潜入レポートと個人情報を抜き取られないための防止策をお届けしたいと思う。
・入口のフィッシングメール
入口となるフィッシングメールは、個人で調査した結果、現在まで2種類確認されているが、実際はもっと存在するだろう。
私(耕平)が受信したフィッシングメールの件名は、いずれも「[American Express]のセキュリティ通知」というものだが、メールの文面が2パターン存在している。
1つ目は「パスワード変更のお願い」と、パスワードの変更を促す内容だ。
こちらのメールだが、よく見ると差出人名が「American Expres」と最後の「s」が1つ足りないスペルミスを犯している。そして本文の中にも1ヶ所、「〜ログイン一時停。止を行いました。」との怪しい誤字も見受けられた。
さらにフィッシングサイトへの誘導リンクが「▼ID情報照会・変更 https://www.amerieanxpress.cn/」とあるが、前述以上にアメリカンエキスプレスのスペルがメチャクチャ。ちなみに最後の「.cn」は中国に割り当てられているドメインだ。
2つ目は「新しい端末からログインがありました」という内容で、具体的なアクセス日時を表示し、不正アクセスの疑いを警告するもの。
こちらは1つ目のメールと違い、誤字は一切見当たらなく、比較的レベル高めのクオリティだが、最後の署名部分が「Copyright (c) PayPay Corporation. All Rights Reserved.」と、アメリカンエキスプレスからのメールなのに、なぜか関係の無い「PayPay」がクレジット表記されている。
次に、個人情報を抜き取るフィッシングサイトを見ていこう。
・フィッシングサイトのクオリティがヤバい!
私は長年アメックスユーザーだが、今回のフィッシングサイトは、そんな私でも一瞬見分けがつかないクオリティだ。
まず、先程のメールをクリックすると……本来であれば、“怪しいサイト” ということで、使っているブラウザから警告が表示される。これは今回に限らず、ほとんどのフィッシングサイトに対して警告してくれる便利な機能だ。
ところが!
このアメリカンエキスプレスのフィッシングサイトは、その警告の表示をすり抜けてサイトに飛んでしまうのである。
そして飛んだ先のサイトは、アメックスユーザーでも何の疑いも持たないような作りになっている。
本物と比べても、一見区別がつかないレベル。
よく見ると、サイト上部のメニューの並びが違うとか細かい違いはあるが、意識して見ないと気づかないだろう。
・内部へ潜入
いよいよ内部に切り込んでいく。今まで数多くのフィッシングサイトを検証した経験から、適当な数字を入れても先に進めることがわかっているので、今回は全て数字の「1」の桁数違いだけで最後まで辿り着けるか試してみた。
そして「ログイン」をクリックすると……
やっぱり入れた。
次に進むために、引き続き「1」を連打して進めていく。「15桁のカード番号」に同じく「11111111」と8桁打ち込み、「4桁のセキュリティコード」に対しては2桁の「11」、カード有効期限は10年先の年月とデタラメな情報を打ち込んで……
「次へ」をクリックしたら行けるのか?
うん、余裕で進めた……。
そして表示された「3桁のセキュリティーコード」には、「1」と1桁で真っ向勝負。その後に表示された「4桁の電話用暗証番号」にも、その後の「変更後の新しいパスワード」にも、ひたすら「1がらみ」で勝負していった結果……
サイトが切り替わり、なぜか「パスワードをリセットしました。」と表示される。そおらくこの時点で個人情報の抜き取りが完了したかと思われる。
そして、サイト内の適当な箇所をクリックすると、いずれも本家のサイトに飛ばされる。
こんな流れで本人も気づかず、サラッと個人情報が抜き取られてしまうような恐怖の仕組みとなっているのだ!
・騙されないために
今までの傾向として、クレジットカード系のフィッシング詐欺の入口であるメールの件名は、不正アクセスなどのセキュリティ関連のものが、ほぼ100%の確率で配信される。
なので、毎回繰り返し注意喚起しているが、この手のメールが来た場合は、絶対にメールからサイトにアクセスしてはならない!
それでも「もしかしたら、不正アクセスされたかも?」と思う人もいるかもしれないので、その場合は速攻でカスタマーサービスに連絡することをオススメする。
また、アメリカンエキスプレスからも公式サイトで注意喚起をしているので、こちらも一読してほしい。
──以上。なにごとも、知っていれば騙されない。知識武装して一人でも被害を減らすために、この記事の内容をシェアしていただければ幸いである。知ることこそ最大の防御である。
参考リンク:アメリカンエキスプレス「あなたを守るために、伝えたいこと」
執筆:耕平
Photo:RocketNews24.
【警告】猛威を振るう「VISAカード」を騙るフィッシングメールのリンクをクリックしてみた / 身を守るために知っておくべきこと
【国民全員が標的】「NHK」を名乗るフィッシング詐欺が横行中!気をつけるべき2つのポイントとは?
【2021年最新版】Amazonを装うフィッシングメール4選 / 偽サイトから個人情報を抜き取る様子も調査してみた
【注意喚起】カード会社を装うフィッシング詐欺のメールにはテンプレートが存在していた!
【警告】「国税庁」を装うフィッシング詐欺が拡大中! 被害に遭わないために知っておくべき2つのこととは?
60分2000円のシャトレーゼのスイーツバイキング知ってる? 平日にひとりで行ったら、情けない結果になった
【Amazon】最大75%オフ! 価格が一気に下がった注目アイテム181選(3月3日)
高市首相と石井議員が女子トークしてた『ほうれい線が無くなる口トレ(クチトレ)グッズ』を1週間使ってみた
【肉4倍で麺特盛】『伝説の肉そば屋』で “伝説盛り” を完食! 器の底に刻まれたメッセージとは?
【Amazon】最大68%オフ! 価格が一気に下がった注目アイテム24選(3月2日)
【Amazon】最大60%オフ! 価格が一気に下がった注目アイテム11選(2月24日)
徒歩10時間、新宿から横浜中華街まで歩いた人にありがちなこと45連発
【4コマ】魔王軍はホワイト企業 1911話目「病と変化㉑」
黄ばんだスマホケースを『オキシ漬け』したらこうなった / TPU素材の変色は復活するのか?
食が細くなったので叙々苑で高い肉を一皿だけ食べて帰ってみた / 加齢を逆手にとった逆転グルメ
【90分間2800円】御用邸チーズケーキも食べ放題!「チーズガーデン」でスイーツビュッフェを楽しもう! エミテラス所沢店
【13時まで】カインズで買い物ついでに「300円の朝ごはん」を食べてみた
【検証】10年間ほぼ毎日飲んでる「コーヒー」を1週間断ってみたらこうだった
【雑草対策】カインズで598円「撒くだけで防草できる人工砂」の効果がヤバ過ぎた / お財布にも環境にも優しい超画期的アイテム
【検証】「スタバはどのサイズを頼んでも量は一緒」という動画が出回る → 実際に試してみた
オニヤンマのフィギュアが虫よけになるってほんと? 2週間かけて試してみた正直な感想
何も期待せず「カメムシブロック」ってスプレーを窓に吹いたら後日ヤバイことになっていた【100万円の古民家】
【警告】イオンカードユーザー必読!「イオンカード」を騙るフィッシング詐欺に潜入したらクオリティがヤバすぎた
【まとめ】被害総額10億円超え! 危険度MAXなフィッシング詐欺3選+番外 / 2021年版
【警告】Paidy(ペイディ)を名乗るフィッシング詐欺が個人情報を抜き取るまでの一部始終を公開 / 騙されないために覚えておくこと
【注意喚起】PayPay銀行を名乗るフィッシング詐欺に潜入した結果…今までに無いパターンに遭遇した
【警告】「ETC利用照会サービス」を騙るフィッシング詐欺が危険! 高速道路利用者はマジで気をつけて!!
【警告】「SAISON CARD Netアンサー」を騙るフィッシング詐欺のクオリティが激ヤバ…セゾンカードユーザーは一読必須!
【激怒】「日本赤十字社」を装って寄付を呼びかけるフィッシング詐欺がかなり悪質!騙されないために覚えておくこと
【注意喚起】PayPayキャンペーンを装ったフィッシング詐欺が横行中! その狡猾な手口とは?
【警戒レベルMAX】MyJCBカードを装った悪質フィッシングメールのリンクをクリックして先に進んでみた / 感想 「カード持ってたら確実に個人情報抜かれてた…」
【知らなきゃ抜かれる】「大規模接種センター」を騙るフィッシング詐欺が猛威を振るっているので潜入してみた
【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは?
【注意喚起】2023年版! ヤマト運輸を装うフィッシング詐欺が横行中…防止策を今流行りのアレに聞いてみた