今日はアメエクの日? いつもご覧くださりありがとうございます! 今日は嫌にアメリカンエキスプレスカード(以降アメエク)の偽メールが多いですね。
件名も複数あって『【重要なお知らせ】アメックスのクレジットカード ご利用確認のお願い』と
『[American Express] カードの利用が一時停止されました*****』
今回はこのうちの後者の方を取り上げてみようと思います。
 何じゃこれ?
アメエクからのメールみたいだけど
なんか詐欺メールにありがちなクネクネした
気色悪いフォントが使われているな。 なんか差出人名に私のメールアカウント名が書かれてるし。
それにアメエクさんのメールアドレスってこんなのだったっけ? バナーもリンク切れして正常に表示されていないし
なんだかおかしいよなぁこのメール。
本当にアメックスからのメールなんだろうか? アメエクからのメールの場合、こちらのアメックスが注意喚起しているページに詳しく書いてあります。
『アメックスを騙った迷惑メール(フィッシング詐欺)にご注意ください』 これによるとアメックスからのメールは以下のドメインとされています。 @aexp.com
@aexpfeedback.com
@alerts.americanexpress.com
@americanexpress.com
@americanexpress.jp
@email.americanexpress.com
@email.amexnetwork.com
@email2.americanexpress.com
@my.americanexpress.com
@welcome.aexp.com
@welcome.americanexpress.com | やっぱりここにはこのメールの差出人で使われている
”@stores.jp”ってドメイン入っていないわ! お母さん、そうなんです!
このメールのドメインはこの一覧に含まれていないので
何者かによるフィッシング詐欺メールです!
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] [American Express] カードの利用が一時停止されました』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”*****” <hoe@stores.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
リンク先は中国の方のドメインで運営中 では次に本文を見ていくことにしましょう。 | アメリカン・エキスプレス(アメックス)※会員 ******@********.***様 平素はアメックスをご利用いただき、誠にありがとうございます。 このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、サービスのご利用を一部制限させていただき、お客様のアカウントのに登録された電話番号にご連絡いたしましたが、お客様に連絡を取ることができませんでした。そのため、ご登録されているメールアドレスにてご連絡させていただきました。 ご回答をいただけない場合、サービスのご利用制限が継続されることもございますので、予めご了承下さい。 ご利用確認はこちら ■注意事項 ※カードの個人情報によっては電話で連絡する場合もございます。 ※正確な情報は必ず記入してください。 ■発行者 お客様対応における当社の方針 よくあるご質問 | このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ご利用確認はこちら』と『お客様対応における当社の方針』って書かれたところとに
付けられていて、最初の画像に書いた通りリンク先のURLに使われているドメインはメールアドレス同様に
アメックスの物とは全く異なる上に接続するとリダイレクト(自動転送)され別のサイトに飛ばされます。
そのリンク先をコンピュータセキュリティブランドのトレンドマイクロの『サイトセーフティーセンター』で
検索するとその危険度はこのように評価されていました。
 既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”pscourtart.com”
このドメインにまつわる情報を『Whois』さんと『WebAnalysis』さんで取得してみます。
まずは『Whois』さんでドメインの情報を。 
これによるとこのドメインは中国の安徽省の方が取得されているようです。 次に『WebAnalysis』さんで割当てているIPアドレスを。
 このドメインを割当てているIPアドレスは”204.152.213.43”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、ロサンゼルス付近。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスもロサンゼルスに拠点を置く
『QuadraNet Enterprises LLC』です。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは
構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
 本物を確認しましたが、そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
| 
