【American Express】次回口座振替のお知らせというメールがフィッシング詐欺か解析する
公開日:
【American Express】次回口座振替のお知らせというメールがフィッシング詐欺か解析します。
314,408 円の口座引き落としを通知する内容となっています。
文面は以下の通り。
「オンライン・サービス」にログインして口座振替金額をご確認ください。
次回の口座振替情報をお知らせいたします。
次回口座振替情報:
カード番号(下5桁)
23001
口座振替金額
314,408 円
口座振替日
2022年02月10日
本サービスについての詳細および登録の解除・変更は、以下よりご確認ください。
▼サポートサイト
https://www.americanexpress-sieneonazcc.com/
American Express Tag Line
Laptop
カード会員様向け公式アプリでも、ご請求金額や明細書、最新のご利用金額などが一目で確認できます。詳細は こちら
カード会員様向け公式アプリのダウンロードはこちら
App Store
Google Play Japan
顧客プライバシー
|
お問い合わせ窓口
|
配信アドレスの変更
※本Eメールはカード会員様の受信設定にかかわらず、配信しております。
※本Eメールは送信専用Eメールアドレスから配信されています。ご返信いただいてもお応えいたしかねますのでご了承ください。
※本サービスについての詳細および登録の解除・変更は、こちらよりご確認ください。
【発行】アメリカン・エキスプレス・インターナショナル, Inc.
〒105-6920 東京都港区虎ノ門4丁目1番1号
Copyright (©) 2022 American Express International, Inc. All Rights Reserved.
INTJAALE0004001
まずはメールの送信元を調べてみます。
1 2 |
From: American Express <lzx@shonan-kyujin[.]com> Return-Path: <lzx@shonan-kyujin[.]com> |
送信者名はAmerican Expressとなっていますが、送信元メールアドレス、Return-Pathともにshonan-kyujin[.]comとなっており、American Expressとは全く無関係なドメインが使われています。
送信元サーバーも調べてみます。
1 |
Received: from shonan-kyujin[.]com (unknown [133.242.70[.]45]) |
133.242.70[.]45というIPアドレスが出てきました。
調べてみると、
1 2 3 4 |
Network Information: a. [Network Number] 133.242.70.0/24 b. [Network Name] SAKURA-NET g. [Organization] SAKURA Internet Inc. |
このIPアドレスを見る限り、日本のさくらインターネットのサーバーが使われていると考えられます。
次にメール本文中のリンクの誘導先を調べてみます。
base64でデコードしてソースを見てみると、
1 |
<a href="https://www.americanexpress-sieneonazcc[.]com/" shape=rect>こちら</a> |
となっており、
遷移先が https://www.americanexpress-sieneonazcc[.]com であることが分かります。
さて、このドメインのwhois情報を調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
Domain Information Domain:americanexpress-sieneonazcc[.]com Registrar:MAFF Inc. Registered On:2022-02-07 Expires On:2023-02-07 Updated On:2022-02-07 Status:clientTransferProhibited Name Servers:ns1.maff.com ns2.maff.com Registrant Contact Name:fangzhao Mei Street:beijinshiqude City:HeShanShi State:GuangXi Postal Code:546500 Country:China |
となっており、中国で登録されているドメインであることが分かりました。
なお、同一の登録者で Americanexprizss[.]com というドメインも運用されているようです。
安全を担保したうえで遷移先の https://www.americanexpress-sieneonazcc[.]com にアクセスしてみます。
すると、
このようにAmerican Expressの偽のWebサイトが運営されていました。
続いてクレジットカード番号や有効期限、セキュリティコードを窃取する画面があり、
3桁のセキュリティコードを窃取し、
4桁の電話用の暗証番号も窃取します。
このサーバーのIPアドレスは115.144.69[.]106、韓国のホスティングサービスを利用していることが分かりました。
ソースを見てみると、外部から https://js.users.51.la/21256145[.]js を読み込んでいます。
これは51.laのサブドメインですが、51.laは中国のサイトで、アクセス解析ツールなどを提供しています。
【American Express】次回口座振替のお知らせというメールはフィッシング詐欺
【American Express】次回口座振替のお知らせというメールはフィッシング詐欺です。
このメールは送信者名こそAmerican Express(アメリカンエキスプレス、アメックス)ですが、国内のサーバーを不正利用しているとみられるメールアドレスを用いて配信されています。
またリンクの誘導先は中国で取得されたドメインを用いて韓国のサーバーで運用されているAmerican Express(アメリカンエキスプレス、アメックス)の偽サイトです。
遷移先ではセキュリティコードや電話用のパスワードなどの入力も求めており、危険です。
くれぐれもアカウント情報やカード情報を入力しないよう、ご注意ください。
関連記事
カテゴリ:フィッシング
タグ:American Express,アメックス,アメリカンエキスプレス,スパムメール,フィッシング詐欺