耕平
2021年に入っても進化が止まらないフィッシング詐欺。過去に楽天カードやJCBカードなどのクレジットカード系のフィッシング詐欺を紹介してきたが、とうとう、アメリカンエキスプレスのフィッシング詐欺が猛威を奮い出した!
しかもサイトが本家と ほぼ見分けがつかないクオリティで、事前に知識が無ければ うっかり騙される可能性が非常に高い。個人的には今年No.1の危険度と思っているほどのレベルなので、潜入レポートと個人情報を抜き取られないための防止策をお届けしたいと思う。
・入口のフィッシングメール
入口となるフィッシングメールは、個人で調査した結果、現在まで2種類確認されているが、実際はもっと存在するだろう。
私(耕平)が受信したフィッシングメールの件名は、いずれも「[American Express]のセキュリティ通知」というものだが、メールの文面が2パターン存在している。
1つ目は「パスワード変更のお願い」と、パスワードの変更を促す内容だ。
こちらのメールだが、よく見ると差出人名が「American Expres」と最後の「s」が1つ足りないスペルミスを犯している。そして本文の中にも1ヶ所、「〜ログイン一時停。止を行いました。」との怪しい誤字も見受けられた。
さらにフィッシングサイトへの誘導リンクが「▼ID情報照会・変更 https://www.amerieanxpress.cn/」とあるが、前述以上にアメリカンエキスプレスのスペルがメチャクチャ。ちなみに最後の「.cn」は中国に割り当てられているドメインだ。
2つ目は「新しい端末からログインがありました」という内容で、具体的なアクセス日時を表示し、不正アクセスの疑いを警告するもの。
こちらは1つ目のメールと違い、誤字は一切見当たらなく、比較的レベル高めのクオリティだが、最後の署名部分が「Copyright (c) PayPay Corporation. All Rights Reserved.」と、アメリカンエキスプレスからのメールなのに、なぜか関係の無い「PayPay」がクレジット表記されている。
次に、個人情報を抜き取るフィッシングサイトを見ていこう。
・フィッシングサイトのクオリティがヤバい!
私は長年アメックスユーザーだが、今回のフィッシングサイトは、そんな私でも一瞬見分けがつかないクオリティだ。
まず、先程のメールをクリックすると……本来であれば、“怪しいサイト” ということで、使っているブラウザから警告が表示される。これは今回に限らず、ほとんどのフィッシングサイトに対して警告してくれる便利な機能だ。
ところが!
このアメリカンエキスプレスのフィッシングサイトは、その警告の表示をすり抜けてサイトに飛んでしまうのである。
そして飛んだ先のサイトは、アメックスユーザーでも何の疑いも持たないような作りになっている。
本物と比べても、一見区別がつかないレベル。
よく見ると、サイト上部のメニューの並びが違うとか細かい違いはあるが、意識して見ないと気づかないだろう。
・内部へ潜入
いよいよ内部に切り込んでいく。今まで数多くのフィッシングサイトを検証した経験から、適当な数字を入れても先に進めることがわかっているので、今回は全て数字の「1」の桁数違いだけで最後まで辿り着けるか試してみた。
そして「ログイン」をクリックすると……
やっぱり入れた。
次に進むために、引き続き「1」を連打して進めていく。「15桁のカード番号」に同じく「11111111」と8桁打ち込み、「4桁のセキュリティコード」に対しては2桁の「11」、カード有効期限は10年先の年月とデタラメな情報を打ち込んで……
「次へ」をクリックしたら行けるのか?
うん、余裕で進めた……。
そして表示された「3桁のセキュリティーコード」には、「1」と1桁で真っ向勝負。その後に表示された「4桁の電話用暗証番号」にも、その後の「変更後の新しいパスワード」にも、ひたすら「1がらみ」で勝負していった結果……
サイトが切り替わり、なぜか「パスワードをリセットしました。」と表示される。そおらくこの時点で個人情報の抜き取りが完了したかと思われる。
そして、サイト内の適当な箇所をクリックすると、いずれも本家のサイトに飛ばされる。
こんな流れで本人も気づかず、サラッと個人情報が抜き取られてしまうような恐怖の仕組みとなっているのだ!
・騙されないために
今までの傾向として、クレジットカード系のフィッシング詐欺の入口であるメールの件名は、不正アクセスなどのセキュリティ関連のものが、ほぼ100%の確率で配信される。
なので、毎回繰り返し注意喚起しているが、この手のメールが来た場合は、絶対にメールからサイトにアクセスしてはならない!
それでも「もしかしたら、不正アクセスされたかも?」と思う人もいるかもしれないので、その場合は速攻でカスタマーサービスに連絡することをオススメする。
また、アメリカンエキスプレスからも公式サイトで注意喚起をしているので、こちらも一読してほしい。
──以上。なにごとも、知っていれば騙されない。知識武装して一人でも被害を減らすために、この記事の内容をシェアしていただければ幸いである。知ることこそ最大の防御である。
参考リンク:アメリカンエキスプレス「あなたを守るために、伝えたいこと」
執筆:耕平
Photo:RocketNews24.
ブラックカードへ招待!? アメックス『センチュリオン・カード』を騙るフィッシング詐欺に潜入 → 個人情報を抜き取る一部始終を確認した
【警告】猛威を振るう「VISAカード」を騙るフィッシングメールのリンクをクリックしてみた / 身を守るために知っておくべきこと
【国民全員が標的】「NHK」を名乗るフィッシング詐欺が横行中!気をつけるべき2つのポイントとは?
【2021年最新版】Amazonを装うフィッシングメール4選 / 偽サイトから個人情報を抜き取る様子も調査してみた
【注意喚起】カード会社を装うフィッシング詐欺のメールにはテンプレートが存在していた!
両隣にイチャつくカップル…私が1人焼肉で「豚肉」を食べまくった理由 / おひとりさま食べ放題のリアル
初めての「カプリチョーザ」でサイゼリヤとの価格差にビビるも、『トマトとニンニク』に胃袋を掴まれた
【4コマ】魔王軍はホワイト企業 2007話目「休暇明け⑨」
【ポケモンGO】10周年の『GOフェス東京』は最高だったのか? 10年で最大級のバグとお台場・池袋で見た「遊び方の激変」
妻が買った5000円の「山崎実業」風呂イス、機能性は抜群なのに結局「ダイソー」のイスに戻ってしまった
刺身食べ放題の『漁港食堂 三方』が東京初出店! 多摩センター店に行って分かった「従来の漁港食堂との違い」と「コスパ」
読者に教わった「アイラップ湯せん」でローストビーフを作ったら、ついに過去最高レベルの仕上がりになった
【4コマ】魔王軍はホワイト企業 2006話目「休暇明け⑧」
【4コマ】魔王軍はホワイト企業 2003話目「休暇明け⑤」
【1000円以下食べ放題】900円のランチ定食注文で炒飯食べ放題! 唐揚げや水餃子もついてくるガチ中華『四川厨房 随苑 内神田店』
【1000円食べ放題】唐揚げ、麻婆豆腐がおかわり自由! ガチ中華『香港餃子酒場』ランチの副菜ビュッフェがおまけを超えてる
定額で遊び放題! 福生『ゲームセンター タンポポ』は、行き場のない “みなし機” の新たな活躍場所 / 懐かしの名機に会える楽園
都内の「天下一品」跡地に10店同時オープンした「伍福軒」が全店一斉閉店 / 6月中旬で店舗ゼロに
覚悟して「2つ折りスマホ」を買って1年2カ月が経過。今の端末の状態と、購入を検討している人はむしろコレを気にしてほしい
オニヤンマのフィギュアが虫よけになるってほんと? 2週間かけて試してみた正直な感想
【事件】久しぶりに「串カツ田中」に行ったらほぼ別の店になっていた / 豚もエビもレンコンも食べずに帰ることになった理由
【本日発売】「ローソンの福袋」(2160円)があまりにパンパンに詰まってて、持って帰るのちょっと恥ずい
中国「渡航自粛要請」から2週間が経った京都市内「祇園」「清水寺」「錦市場」の様子を見に行ってみた
黄ばんだスマホケースを『オキシ漬け』したらこうなった / TPU素材の変色は復活するのか?
【警告】「国税庁」を装うフィッシング詐欺が拡大中! 被害に遭わないために知っておくべき2つのこととは?
【警告】イオンカードユーザー必読!「イオンカード」を騙るフィッシング詐欺に潜入したらクオリティがヤバすぎた
【まとめ】被害総額10億円超え! 危険度MAXなフィッシング詐欺3選+番外 / 2021年版
【警告】Paidy(ペイディ)を名乗るフィッシング詐欺が個人情報を抜き取るまでの一部始終を公開 / 騙されないために覚えておくこと
【注意喚起】PayPay銀行を名乗るフィッシング詐欺に潜入した結果…今までに無いパターンに遭遇した
【警告】「ETC利用照会サービス」を騙るフィッシング詐欺が危険! 高速道路利用者はマジで気をつけて!!
【警告】「SAISON CARD Netアンサー」を騙るフィッシング詐欺のクオリティが激ヤバ…セゾンカードユーザーは一読必須!
【激怒】「日本赤十字社」を装って寄付を呼びかけるフィッシング詐欺がかなり悪質!騙されないために覚えておくこと
【注意喚起】PayPayキャンペーンを装ったフィッシング詐欺が横行中! その狡猾な手口とは?
【警戒レベルMAX】MyJCBカードを装った悪質フィッシングメールのリンクをクリックして先に進んでみた / 感想 「カード持ってたら確実に個人情報抜かれてた…」