『詐欺メール』アメリカンエキスプレスカードから「カードのご利用に関するお知らせ」と、来た件

宛名ぐらいきちんと書こうよ

土曜の朝も詐欺メールには関係無いようです。
これは「アメリカンエキスプレスインターナショナル」に成りすました詐欺メールです。

先に買いておきますが、私、アメリカンエキスプレスカード持っていません…(笑)
冒頭のAmerican Expressと書かれたアイコンの右側にある「様」って何なのでしょうか？
もしかして宛名を書き忘れたとか？　それとも分からないので空白にしたとか？
どちらにしても適当なメールですね。(笑)

では、メールのプロパティーから見ていきます。

件名は
「[spam] カードのご利用に関するお知らせ」
”[spam]”は受信サーバーが付加したセキュリティー警告で”スパムスタンプ”と呼ばれます。
これが付加されているので明らかに迷惑メールです。

差出人は
「American Express <mwaqir@welcome.aexp.com>」
”aexp.com”は確かに「アメリカンエキスプレスインを付けるでしょうか？
もう少し洒落たアカウントにした方が疑われにくいと思うのですが…(^-^;
どっちみち偽装メールアドレスなんでしょうけど(笑)

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってその情報を拾ってみましょう！
ふ～ん、例のヤツか。
回線関連情報のプロバイダー名に「SAKURA Internet Inc.」と書かれていますから、
このメールは「さくらインターネット」のサーバーから送れらて来ていることが
分かりますよね。
それに脅威レベルは「高」です！
地図による位置は、「さくらインターネット」のサーバーの位置だと思われます。

”au pay”へのチャージが限度額を超えた？！

では、本文。

これによると、”au pay”へのチャージが限度額を超えたためできなかったという内容です。
そしてご丁寧に利用限度額を確認するためのリンクが付けられています。
そのリンク先のURLがこちら。

正規サイトのURLと比べてみます。

正規サイト：https://www.americanexpress.com/
偽のサイト：https://www.americanexprizss.com/

パッと見分かりにくいですが、微妙に変えてありますね。

ではここで使われているドメイン”americanexprizss.com”を調べてみましょう。
持ち主は「中国・広西チワン族自治区・合山市」の方。
このドメインを割当てているIPアドレスは”115.144.69.12”で、割り当て地は隣国。

このIPアドレスを使いもう少し詳しい位置を割り出してみました。

再び脅威レベルは「高」！
この位置は、もちろんおおよそですが「ソウル特別市」が表示されました。

見事な完コピ偽サイト

リンク先を開いてみると、アメリカンエキスプレスカードのログインページが開きました。
当然偽の完コピページです。
ちょっとだけ先に進んでみます。

でたらめなIDとパスワードでログインしたら、このページ示されました。

と、書かれています。

そしてカード番号とセキュリティーコード及びカードの有効期限が問われました。
再び適当に入力し「次へ」ボタンを押してみると。

今度は3桁のセキュリティーコードを求められました。
アメリカンエキスプレスカードは4桁と3桁のセキュリティーコードがあるんですね。
ここも適当に…

この時点でカードの情報は犯人に知れ渡ってしまいました。

次に開いたのは、メール送信されたとされる認証コードの入力画面。

もうここまでくれば、犯人の目的は達成されていますのできっとこの認証コードを送ったと
言うのは嘘でしょうね。

まとめ

今回も最近よくある「さくらインターネット」ユーザーによるのフィッシング詐欺メールで
隣国設置の詐欺サイトと言う組み合わせでした。
パッと見なかなか見分け難いメールですが、必ずどこかに落ち度があります。
特にショップサイトやクレジットカード会社からのメールでリンクが付いているものは
要注意です！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;