Amazon Pay ご請求内容のお知らせ番号:460929421391というメールがフィッシング詐欺か検証する
<重要>JACCSカードご利用確認というメールがフィッシング詐欺か検証する
【American Express】カードご利用金額のお知らせというフィッシング詐欺メールの解析
公開日:
見出し
「【American Express】カードご利用金額のお知らせ」というフィッシング詐欺メールの解析を行います。
これは正規の利用金額通知メール(HTMLメール)と大変酷似しています。
「【American Express】カードご利用金額のお知らせ」フィッシング詐欺メールの概観
カードご利用金額: -982,744円となっています。
本文テキストを抽出します。
American Express Logo
カードご利用金額のお知らせ
「オンライン・サービス」へログイン
アメリカン・エキスプレスのカード会員さまへ
平素は、アメリカン・エキスプレスのカードをご利用いただき、誠にありがとうございます。
2021/08/03現在のカードご利用金額をお知らせいたします。
カードご利用金額: -982,744円
カードご利用明細のご確認、「お知らせメール」の設定変更およびEメールの配信停止は「オンライン・サービス」にて行えます。
americanexpress.co.jp/myaccount
※本メールは、アメリカン・エキスプレスから送信される自動配信メールです。
マイ・アカウント
期間限定のキャンペーンや各種イベントのご案内。
● 本メールは送信専用メールアドレスから配信されています。ご返信いただいてもお応えいたしかねますので、ご了承ください。
本メールにお心当たりのない方は、誠にご面倒ではございますが、下記電話番号までご連絡いただきますよう、お願い申しあげます。
<メンバーシップ・サービス・センター
0120-020865 (9:00~17:00/土日祝休)
海外もしくは携帯電話等からは、03-6625-9726まで。
【発行】アメリカン・エキスプレス・インターナショナル, Inc.
〒105-6920 東京都港区虎ノ門4丁目1番1号
Copyright (c) 2021 American Express International, Inc. All Rights Reserved.
INTJAALE0010001
まずはメールの送信元を調べてみます。
|
1 2 |
From: American Express <americanexpress@welcome.aexp.com> Return-Path: <vyx@ova[.]asia> |
送信者名はAmerican Express、送信元メールアドレスはamericanexpress@welcome.aexp.comとなっていますが、Return-Pathがvyx@ova[.]asiaとなっており異なっています。
送信元サーバーを調べてみます。
|
1 |
Received: from ova.asia (v160-251-60-98.1722.static.cnode.io [160.251.60.98]) |
cnode.ioはフィッシング詐欺メールでは頻出です。
GMOインターネットのホスティングサービスの悪用と思われます。
次にメール本文中リンクの遷移先について調べてみます。
ソースを見てみると、
|
1 |
<A href="https://www.amerieanxpress[.]cn/" shape=rect>americanexpress.co.jp/myaccount</A> |
となっており、americanexpress.co.jp/myaccountとあるものの実際の遷移先はhttps://www.amerieanxpress[.]cn/であることが分かります。
類似したつづりのドメイン、また.cnの中国ドメインと、フィッシング詐欺であることは確実です。
whois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 |
Domain Name: amerieanxpress.cn ROID: 20210528s10001s36331205-cn Domain Status: ok Registrant: 梅方昭 Registrant Contact Email: qifei2019@foxmail.com Sponsoring Registrar: 广州云讯信息科技有限公司 Name Server: jm1.dns.com Name Server: jm2.dns.com Registration Time: 2021-05-28 18:18:04 Expiration Time: 2022-05-28 18:18:04 DNSSEC: unsigned |
2021年5月28日に取得されていることが分かります。
IPアドレスは115.144.69[.]110、調べてみると韓国のサーバーが利用されているようです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
inetnum: 115.144.0.0 - 115.144.255.255 netname: HAIONNET descr: HAIonNet admin-c: IM851-AP tech-c: IM851-AP country: KR status: ALLOCATED PORTABLE mnt-by: MNT-KRNIC-AP mnt-irt: IRT-KRNIC-KR last-modified: 2017-02-02T02:44:02Z source: APNIC irt: IRT-KRNIC-KR address: Jeollanam-do Naju-si Jinheung-gil e-mail: removed email address abuse-mailbox: removed email address admin-c: IM574-AP tech-c: IM574-AP auth: # Filtered remarks: removed email address was validated on 2020-04-09 mnt-by: MNT-KRNIC-AP last-modified: 2021-06-15T06:21:49Z source: APNIC |
安全を担保して実際にアクセスしてみます。
すると、American Express(AMEX)の偽のログイン画面が出てきます。
American Express(AMEX)フィッシング詐欺でのクレジットカード情報窃取の流れ
続く画面ではセキュリティコードを含むクレジットカード情報を入力させる仕組みになっています。
American Expressカードの場合、表面に4桁のセキュリティコードがあり、それを上記の画面で求めていますが、次の画面では裏面の3桁も求めています。
さらに次の画面では電話用の暗証番号も求めてきます。
さらにログイン用パスワードを変更させ、
ようやく一連の情報窃取が完了となります。
【American Express】カードご利用金額のお知らせというメールはフィッシング詐欺
【American Express】カードご利用金額のお知らせというメールはフィッシング詐欺です。
このメールは国内のサーバーを悪用して配信され、韓国のサーバーで運用されているAmerican Expressカードの偽サイトへと誘導します。
カード利用金額で異常が見られるため、気になってクリックしてしまうことがないよう、またくれぐれもクレジットカード情報を入力してしまうことがないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:American Express,AMEX,アメックス,スパムメール,フィッシング詐欺
関連記事
人気記事
