耕平
2021年に入っても進化が止まらないフィッシング詐欺。過去に楽天カードやJCBカードなどのクレジットカード系のフィッシング詐欺を紹介してきたが、とうとう、アメリカンエキスプレスのフィッシング詐欺が猛威を奮い出した!
しかもサイトが本家と ほぼ見分けがつかないクオリティで、事前に知識が無ければ うっかり騙される可能性が非常に高い。個人的には今年No.1の危険度と思っているほどのレベルなので、潜入レポートと個人情報を抜き取られないための防止策をお届けしたいと思う。
・入口のフィッシングメール
入口となるフィッシングメールは、個人で調査した結果、現在まで2種類確認されているが、実際はもっと存在するだろう。
私(耕平)が受信したフィッシングメールの件名は、いずれも「[American Express]のセキュリティ通知」というものだが、メールの文面が2パターン存在している。
1つ目は「パスワード変更のお願い」と、パスワードの変更を促す内容だ。
こちらのメールだが、よく見ると差出人名が「American Expres」と最後の「s」が1つ足りないスペルミスを犯している。そして本文の中にも1ヶ所、「〜ログイン一時停。止を行いました。」との怪しい誤字も見受けられた。
さらにフィッシングサイトへの誘導リンクが「▼ID情報照会・変更 https://www.amerieanxpress.cn/」とあるが、前述以上にアメリカンエキスプレスのスペルがメチャクチャ。ちなみに最後の「.cn」は中国に割り当てられているドメインだ。
2つ目は「新しい端末からログインがありました」という内容で、具体的なアクセス日時を表示し、不正アクセスの疑いを警告するもの。
こちらは1つ目のメールと違い、誤字は一切見当たらなく、比較的レベル高めのクオリティだが、最後の署名部分が「Copyright (c) PayPay Corporation. All Rights Reserved.」と、アメリカンエキスプレスからのメールなのに、なぜか関係の無い「PayPay」がクレジット表記されている。
次に、個人情報を抜き取るフィッシングサイトを見ていこう。
・フィッシングサイトのクオリティがヤバい!
私は長年アメックスユーザーだが、今回のフィッシングサイトは、そんな私でも一瞬見分けがつかないクオリティだ。
まず、先程のメールをクリックすると……本来であれば、“怪しいサイト” ということで、使っているブラウザから警告が表示される。これは今回に限らず、ほとんどのフィッシングサイトに対して警告してくれる便利な機能だ。
ところが!
このアメリカンエキスプレスのフィッシングサイトは、その警告の表示をすり抜けてサイトに飛んでしまうのである。
そして飛んだ先のサイトは、アメックスユーザーでも何の疑いも持たないような作りになっている。
本物と比べても、一見区別がつかないレベル。
よく見ると、サイト上部のメニューの並びが違うとか細かい違いはあるが、意識して見ないと気づかないだろう。
・内部へ潜入
いよいよ内部に切り込んでいく。今まで数多くのフィッシングサイトを検証した経験から、適当な数字を入れても先に進めることがわかっているので、今回は全て数字の「1」の桁数違いだけで最後まで辿り着けるか試してみた。
そして「ログイン」をクリックすると……
やっぱり入れた。
次に進むために、引き続き「1」を連打して進めていく。「15桁のカード番号」に同じく「11111111」と8桁打ち込み、「4桁のセキュリティコード」に対しては2桁の「11」、カード有効期限は10年先の年月とデタラメな情報を打ち込んで……
「次へ」をクリックしたら行けるのか?
うん、余裕で進めた……。
そして表示された「3桁のセキュリティーコード」には、「1」と1桁で真っ向勝負。その後に表示された「4桁の電話用暗証番号」にも、その後の「変更後の新しいパスワード」にも、ひたすら「1がらみ」で勝負していった結果……
サイトが切り替わり、なぜか「パスワードをリセットしました。」と表示される。そおらくこの時点で個人情報の抜き取りが完了したかと思われる。
そして、サイト内の適当な箇所をクリックすると、いずれも本家のサイトに飛ばされる。
こんな流れで本人も気づかず、サラッと個人情報が抜き取られてしまうような恐怖の仕組みとなっているのだ!
・騙されないために
今までの傾向として、クレジットカード系のフィッシング詐欺の入口であるメールの件名は、不正アクセスなどのセキュリティ関連のものが、ほぼ100%の確率で配信される。
なので、毎回繰り返し注意喚起しているが、この手のメールが来た場合は、絶対にメールからサイトにアクセスしてはならない!
それでも「もしかしたら、不正アクセスされたかも?」と思う人もいるかもしれないので、その場合は速攻でカスタマーサービスに連絡することをオススメする。
また、アメリカンエキスプレスからも公式サイトで注意喚起をしているので、こちらも一読してほしい。
──以上。なにごとも、知っていれば騙されない。知識武装して一人でも被害を減らすために、この記事の内容をシェアしていただければ幸いである。知ることこそ最大の防御である。
参考リンク:アメリカンエキスプレス「あなたを守るために、伝えたいこと」
執筆:耕平
Photo:RocketNews24.
【警告】猛威を振るう「VISAカード」を騙るフィッシングメールのリンクをクリックしてみた / 身を守るために知っておくべきこと
【国民全員が標的】「NHK」を名乗るフィッシング詐欺が横行中!気をつけるべき2つのポイントとは?
【2021年最新版】Amazonを装うフィッシングメール4選 / 偽サイトから個人情報を抜き取る様子も調査してみた
【注意喚起】カード会社を装うフィッシング詐欺のメールにはテンプレートが存在していた!
【警告】「国税庁」を装うフィッシング詐欺が拡大中! 被害に遭わないために知っておくべき2つのこととは?
新宿駅の改札内で売っている「3240円のお弁当」の中身とは? 開けたら…大草原が広がってて圧倒された
【ガチ検証】「寝酒は睡眠に悪影響を及ぼす」は本当なのか? 脳波から測定する睡眠検査キットを使って比較した結果…
人生で初めてシーフードレストラン「メヒコ」の伝統のカニピラフを食べてみた! 東京・浅草
【なるほどな〜】ドイツの『1.1ユーロ均』に行ったら “日本の100均で感動してる外国人の気持ち” がよ〜く分かる
【朗報】サイゼリヤの「無料オリーブオイル」が復活していた! コスト高騰により一時は小皿で提供
【激安】Amazonで「20円の高圧洗浄機」を買ってみた
新品デニムを「オキシ漬け」したまま約15時間放置したらこうなった
「生ビール1杯100円」に釣られて、数年ぶりにモンテローザの居酒屋に行ってみた正直な感想 / 4月15日、22日開催
2000円でスタバのドリンク飲み放題! 京王プラザホテルの47階が楽園すぎた!! ただし注意点も…
【ウソやろ】ガストで最高な1000円の使い方! 1000円縛りでベストなオーダーはどれだ!!
【謝罪】会社の汚れたアルミ鍋を「オキシ漬け」したまま20時間も放置してしまった結果 → 泣いた
具材を選んで自分で作る「DIY天丼」だと!? まさかと思って注文したら、思ってたのと全然違った
【池袋】年季が入りすぎてて逆に入りづらい回転寿司「若貴」に行ってみた → 後悔した
447円で買った防犯カメラをひっくり返したら謎の穴が! 「もしや」と思い分解してみたら…【SHEIN検証】第4回
【悲報】リトル・マーメイドが日本公開直前に注意喚起! その内容が行くの迷うレベルだった
【実録】女性35歳を1000円で買いに行った話
「ゴディバ」のクリスマスケーキ(6264円)を買ってみたら想像の100倍くらい小さくてビビった
【警告】イオンカードユーザー必読!「イオンカード」を騙るフィッシング詐欺に潜入したらクオリティがヤバすぎた
【警告】Paidy(ペイディ)を名乗るフィッシング詐欺が個人情報を抜き取るまでの一部始終を公開 / 騙されないために覚えておくこと
【注意喚起】PayPay銀行を名乗るフィッシング詐欺に潜入した結果…今までに無いパターンに遭遇した
【まとめ】被害総額10億円超え! 危険度MAXなフィッシング詐欺3選+番外 / 2021年版
【警告】「ETC利用照会サービス」を騙るフィッシング詐欺が危険! 高速道路利用者はマジで気をつけて!!
【警告】「SAISON CARD Netアンサー」を騙るフィッシング詐欺のクオリティが激ヤバ…セゾンカードユーザーは一読必須!
【激怒】「日本赤十字社」を装って寄付を呼びかけるフィッシング詐欺がかなり悪質!騙されないために覚えておくこと
【警戒レベルMAX】MyJCBカードを装った悪質フィッシングメールのリンクをクリックして先に進んでみた / 感想 「カード持ってたら確実に個人情報抜かれてた…」
【歴代最強クラスの危険度】「三井住友カード」を名乗るフィッシングメールがスマートに個人情報を抜き取る様子の一部始終と防衛策を大公開!
【知らなきゃ抜かれる】「大規模接種センター」を騙るフィッシング詐欺が猛威を振るっているので潜入してみた
【注意喚起】超絶クオリティの「Appleを装うフィッシングメール」を見破る3つのポイントとは?
2023年最新版! Amazonを名乗るフィッシングメールの件名にある謎ワード【重なら】の正体を考察してみた