耕平
2021年に入っても進化が止まらないフィッシング詐欺。過去に楽天カードやJCBカードなどのクレジットカード系のフィッシング詐欺を紹介してきたが、とうとう、アメリカンエキスプレスのフィッシング詐欺が猛威を奮い出した!
しかもサイトが本家と ほぼ見分けがつかないクオリティで、事前に知識が無ければ うっかり騙される可能性が非常に高い。個人的には今年No.1の危険度と思っているほどのレベルなので、潜入レポートと個人情報を抜き取られないための防止策をお届けしたいと思う。
・入口のフィッシングメール
入口となるフィッシングメールは、個人で調査した結果、現在まで2種類確認されているが、実際はもっと存在するだろう。
私(耕平)が受信したフィッシングメールの件名は、いずれも「[American Express]のセキュリティ通知」というものだが、メールの文面が2パターン存在している。
1つ目は「パスワード変更のお願い」と、パスワードの変更を促す内容だ。
こちらのメールだが、よく見ると差出人名が「American Expres」と最後の「s」が1つ足りないスペルミスを犯している。そして本文の中にも1ヶ所、「〜ログイン一時停。止を行いました。」との怪しい誤字も見受けられた。
さらにフィッシングサイトへの誘導リンクが「▼ID情報照会・変更 https://www.amerieanxpress.cn/」とあるが、前述以上にアメリカンエキスプレスのスペルがメチャクチャ。ちなみに最後の「.cn」は中国に割り当てられているドメインだ。
2つ目は「新しい端末からログインがありました」という内容で、具体的なアクセス日時を表示し、不正アクセスの疑いを警告するもの。
こちらは1つ目のメールと違い、誤字は一切見当たらなく、比較的レベル高めのクオリティだが、最後の署名部分が「Copyright (c) PayPay Corporation. All Rights Reserved.」と、アメリカンエキスプレスからのメールなのに、なぜか関係の無い「PayPay」がクレジット表記されている。
次に、個人情報を抜き取るフィッシングサイトを見ていこう。
・フィッシングサイトのクオリティがヤバい!
私は長年アメックスユーザーだが、今回のフィッシングサイトは、そんな私でも一瞬見分けがつかないクオリティだ。
まず、先程のメールをクリックすると……本来であれば、“怪しいサイト” ということで、使っているブラウザから警告が表示される。これは今回に限らず、ほとんどのフィッシングサイトに対して警告してくれる便利な機能だ。
ところが!
このアメリカンエキスプレスのフィッシングサイトは、その警告の表示をすり抜けてサイトに飛んでしまうのである。
そして飛んだ先のサイトは、アメックスユーザーでも何の疑いも持たないような作りになっている。
本物と比べても、一見区別がつかないレベル。
よく見ると、サイト上部のメニューの並びが違うとか細かい違いはあるが、意識して見ないと気づかないだろう。
・内部へ潜入
いよいよ内部に切り込んでいく。今まで数多くのフィッシングサイトを検証した経験から、適当な数字を入れても先に進めることがわかっているので、今回は全て数字の「1」の桁数違いだけで最後まで辿り着けるか試してみた。
そして「ログイン」をクリックすると……
やっぱり入れた。
次に進むために、引き続き「1」を連打して進めていく。「15桁のカード番号」に同じく「11111111」と8桁打ち込み、「4桁のセキュリティコード」に対しては2桁の「11」、カード有効期限は10年先の年月とデタラメな情報を打ち込んで……
「次へ」をクリックしたら行けるのか?
うん、余裕で進めた……。
そして表示された「3桁のセキュリティーコード」には、「1」と1桁で真っ向勝負。その後に表示された「4桁の電話用暗証番号」にも、その後の「変更後の新しいパスワード」にも、ひたすら「1がらみ」で勝負していった結果……
サイトが切り替わり、なぜか「パスワードをリセットしました。」と表示される。そおらくこの時点で個人情報の抜き取りが完了したかと思われる。
そして、サイト内の適当な箇所をクリックすると、いずれも本家のサイトに飛ばされる。
こんな流れで本人も気づかず、サラッと個人情報が抜き取られてしまうような恐怖の仕組みとなっているのだ!
・騙されないために
今までの傾向として、クレジットカード系のフィッシング詐欺の入口であるメールの件名は、不正アクセスなどのセキュリティ関連のものが、ほぼ100%の確率で配信される。
なので、毎回繰り返し注意喚起しているが、この手のメールが来た場合は、絶対にメールからサイトにアクセスしてはならない!
それでも「もしかしたら、不正アクセスされたかも?」と思う人もいるかもしれないので、その場合は速攻でカスタマーサービスに連絡することをオススメする。
また、アメリカンエキスプレスからも公式サイトで注意喚起をしているので、こちらも一読してほしい。
──以上。なにごとも、知っていれば騙されない。知識武装して一人でも被害を減らすために、この記事の内容をシェアしていただければ幸いである。知ることこそ最大の防御である。
参考リンク:アメリカンエキスプレス「あなたを守るために、伝えたいこと」
執筆:耕平
Photo:RocketNews24.
ブラックカードへ招待!? アメックス『センチュリオン・カード』を騙るフィッシング詐欺に潜入 → 個人情報を抜き取る一部始終を確認した
【警告】猛威を振るう「VISAカード」を騙るフィッシングメールのリンクをクリックしてみた / 身を守るために知っておくべきこと
【国民全員が標的】「NHK」を名乗るフィッシング詐欺が横行中!気をつけるべき2つのポイントとは?
【2021年最新版】Amazonを装うフィッシングメール4選 / 偽サイトから個人情報を抜き取る様子も調査してみた
【注意喚起】カード会社を装うフィッシング詐欺のメールにはテンプレートが存在していた!
セブンの50%以上増量「感謝盛り」、『とみ田監修デカ豚ラーメン』が1kg超えでコンビニレベルではなかった
自治体から届いた4000円の支援ギフトカード、使い切ろうとしたら「現金併用不可」で結局Amazonに頼った話
【4コマ】魔王軍はホワイト企業 1987話目「再会㉗」
勝手に表示された「LINEのAI」を消す方法 / ただし「おまえを消す方法」を入力してはならない…
【4コマ】魔王軍はホワイト企業 1986話目「再会㉖」
【半額】adidasの定番ジャージ上下セットが8250円 → 3635円! ネット通販ハンター古沢が発掘した特売品24選 / Amazonタイムセール
アメ横「路上営業一斉摘発」で道幅が広くなったって聞いたので行ってみたら、思ったほど変わっていなかった
【1000円食べ放題】唐揚げ、麻婆豆腐がおかわり自由! ガチ中華『香港餃子酒場』ランチの副菜ビュッフェがおまけを超えてる
人気上昇中の『チーズ食べ放題(税込2618円)』に初挑戦 / 想像以上の充実っぷりに感動 → 極限まで楽しむ方法を伝授
【4コマ】魔王軍はホワイト企業 1981話目「再会㉑」
90分食べ放題導入でパンの楽園と化した『ベーカリーレストランC』 / ご覧ください! 珠玉の美味そうなパンを
【検証】10年間ほぼ毎日飲んでる「コーヒー」を1週間断ってみたらこうだった
【雑草対策】カインズで598円「撒くだけで防草できる人工砂」の効果がヤバ過ぎた / お財布にも環境にも優しい超画期的アイテム
オニヤンマのフィギュアが虫よけになるってほんと? 2週間かけて試してみた正直な感想
【事件】久しぶりに「串カツ田中」に行ったらほぼ別の店になっていた / 豚もエビもレンコンも食べずに帰ることになった理由
【本日発売】「ローソンの福袋」(2160円)があまりにパンパンに詰まってて、持って帰るのちょっと恥ずい
【警告】「国税庁」を装うフィッシング詐欺が拡大中! 被害に遭わないために知っておくべき2つのこととは?
【警告】イオンカードユーザー必読!「イオンカード」を騙るフィッシング詐欺に潜入したらクオリティがヤバすぎた
【まとめ】被害総額10億円超え! 危険度MAXなフィッシング詐欺3選+番外 / 2021年版
【注意喚起】PayPay銀行を名乗るフィッシング詐欺に潜入した結果…今までに無いパターンに遭遇した
【警告】Paidy(ペイディ)を名乗るフィッシング詐欺が個人情報を抜き取るまでの一部始終を公開 / 騙されないために覚えておくこと
【警告】「ETC利用照会サービス」を騙るフィッシング詐欺が危険! 高速道路利用者はマジで気をつけて!!
【警告】「SAISON CARD Netアンサー」を騙るフィッシング詐欺のクオリティが激ヤバ…セゾンカードユーザーは一読必須!
【激怒】「日本赤十字社」を装って寄付を呼びかけるフィッシング詐欺がかなり悪質!騙されないために覚えておくこと
【注意喚起】PayPayキャンペーンを装ったフィッシング詐欺が横行中! その狡猾な手口とは?
【警戒レベルMAX】MyJCBカードを装った悪質フィッシングメールのリンクをクリックして先に進んでみた / 感想 「カード持ってたら確実に個人情報抜かれてた…」