『詐欺メール』アメリカンエキスプレスカードから「カードのご利用に関するお知らせ」と、来た件

heart

3年前

アメリカンエキスプレスを騙る詐欺

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

宛名ぐらいきちんと書こうよ

土曜の朝も詐欺メールには関係無いようです。
これは「アメリカンエキスプレスインターナショナル」に成りすました詐欺メールです。

先に買いておきますが、私、アメリカンエキスプレスカード持っていません…(笑)
冒頭のAmerican Expressと書かれたアイコンの右側にある「様」って何なのでしょうか？
もしかして宛名を書き忘れたとか？　それとも分からないので空白にしたとか？
どちらにしても適当なメールですね。(笑)

では、メールのプロパティーから見ていきます。

件名は
「[spam] カードのご利用に関するお知らせ」
”[spam]”は受信サーバーが付加したセキュリティー警告で”スパムスタンプ”と呼ばれます。
これが付加されているので明らかに迷惑メールです。

差出人は
「American Express <mwaqir@welcome.aexp.com>」
”aexp.com”は確かに「アメリカンエキスプレスインを付けるでしょうか？
もう少し洒落たアカウントにした方が疑われにくいと思うのですが…(^-^;
どっちみち偽装メールアドレスなんでしょうけど(笑)

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「＜mwaqir@welcome.aexp.com>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<6FED4157359FFB21B5C7C55BCCB68FC7@welcome.aexp.com>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from welcome.aexp.com (unknown [153.125.239.241])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってその情報を拾ってみましょう！
ふ～ん、例のヤツか。
回線関連情報のプロバイダー名に「SAKURA Internet Inc.」と書かれていますから、
このメールは「さくらインターネット」のサーバーから送れらて来ていることが
分かりますよね。
それに脅威レベルは「高」です！
地図による位置は、「さくらインターネット」のサーバーの位置だと思われます。

”au pay”へのチャージが限度額を超えた？！

では、本文。

カードのご利用に関するお知らせ

合計ご利用金額がご利用可能枠を超えたため、下記のお取引についてカードが
ご利用いただけませんでした。

合計ご利用金額につきましては、オンライン・サービスにログインのうえご確認ください。

これによると、”au pay”へのチャージが限度額を超えたためできなかったという内容です。
そしてご丁寧に利用限度額を確認するためのリンクが付けられています。
そのリンク先のURLがこちら。

正規サイトのURLと比べてみます。

正規サイト：https://www.americanexpress.com/
偽のサイト：https://www.americanexprizss.com/

パッと見分かりにくいですが、微妙に変えてありますね。

ではここで使われているドメイン”americanexprizss.com”を調べてみましょう。
持ち主は「中国・広西チワン族自治区・合山市」の方。
このドメインを割当てているIPアドレスは”115.144.69.12”で、割り当て地は隣国。

このIPアドレスを使いもう少し詳しい位置を割り出してみました。

再び脅威レベルは「高」！
この位置は、もちろんおおよそですが「ソウル特別市」が表示されました。

見事な完コピ偽サイト

リンク先を開いてみると、アメリカンエキスプレスカードのログインページが開きました。
当然偽の完コピページです。
ちょっとだけ先に進んでみます。

でたらめなIDとパスワードでログインしたら、このページ示されました。

入力されたユーザーIDまたはパスワードが正しくありませんでした。
アカウントがロックされました。
ログインするには、ユーザーIDの確認かパスワードの再設定をしてください。

と、書かれています。

そしてカード番号とセキュリティーコード及びカードの有効期限が問われました。
再び適当に入力し「次へ」ボタンを押してみると。

今度は3桁のセキュリティーコードを求められました。
アメリカンエキスプレスカードは4桁と3桁のセキュリティーコードがあるんですね。
ここも適当に…

この時点でカードの情報は犯人に知れ渡ってしまいました。

次に開いたのは、メール送信されたとされる認証コードの入力画面。

もうここまでくれば、犯人の目的は達成されていますのできっとこの認証コードを送ったと
言うのは嘘でしょうね。

まとめ

今回も最近よくある「さくらインターネット」ユーザーによるのフィッシング詐欺メールで
隣国設置の詐欺サイトと言う組み合わせでした。
パッと見なかなか見分け難いメールですが、必ずどこかに落ち度があります。
特にショップサイトやクレジットカード会社からのメールでリンクが付いているものは
要注意です！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)