Amazonプライムの自動更新設定を解除いたしました!というメールがフィッシング詐欺か検証する(2022年版)
「WordPressサイトのバージョンが古い」と事実と異なる内容で不安を煽る営業スパムメール
[AMERICAN EXPRESS] ご請求金額確定のご案内 というメールがフィッシング詐欺か検証する
公開日:
[AMERICAN EXPRESS] ご請求金額確定のご案内と いうメールがフィッシング詐欺か検証します。
ご請求金額が確定しましたので、「オンライン・サービス」へログインのうえ、ご確認ください、といった内容です。
メール本文は以下の通り。
平素はアメリカン・エキスプレスのカードをご利用いただき、誠にありがとうございます。
ご請求金額が確定しましたので、「オンライン・サービス」へログインのうえ、ご確認ください。
「口座振替のお知らせ」も合わせてご利用ください。
口座の振替金額と振替日を、振替日の2 – 5日前にEメールでお知らせする便利なサービスです。この機会にぜひ、ご登録ください。 詳細はこちら
マイ・アカウント
アメリカン・エキスプレス
カード番号(下5桁):22006
• お客さま情報保護のため、ご利用明細の詳細などはEメールでご案内いたしておりません。
• カードのご利用がない月は「オンライン明細書」は作成されません。また、Eメールによるご案内もございません。
• 「オンライン明細書サービス」にご登録されていても、分割払いおよびリボルビング払いのご利用がある場合、ボーナス払いの請求月・支払い完了月、キャッシング、カード・ローンご請求残高がある場合(法令に定められている書面交付義務に基づきます)、またその他当社が必要と認めた場合には、「カードご利用代金明細書」を郵送させていただきます。
• ご入力いただいたEメールアドレスに誤りがあったり、通信障害等によりEメールをお送りできない場合は、ご登録のご利用代金明細書送付先へ、その旨を記載したお手紙を郵送させていただく場合がございます。
• 配信アドレスの変更は、「オンライン・サービス」の“ご登録情報の変更”よりお手続きください。
• このメールは送信専用メールアドレスから自動送信されています。ご返信いただいてもお応えいたしかねますので、ご了承ください。
【配信元】
アメリカン・エキスプレス・インターナショナル,Inc.
〒105-6920 東京都港区虎ノ門4丁目1番1号
Copyright (c) 2022 American Express International, Inc. All Rights Reserved.
AGNJACRS0029001
![[AMERICAN EXPRESS] ご請求金額確定のご案内というメールがフィッシング詐欺かどうかを検証する・メール画面](https://ccsi.jp/wp-content/uploads/2022/12/20221216_amex.jpg)
まずは送信元を調べてみます。
|
1 2 |
From: "American Express" <zfbjkp@campaign-vps[.]com> Return-Path: <zfbjkp@campaign-vps[.]com> |
送信元はAmerican Expressとなっていますが、送信元のアドレス・Return-Pathのドメインはcampaign-vps[.]com です。
次に送信元サーバーを調べてみます。
|
1 |
Received: from campaign-vps.com (unknown [137.220.181[.]142]) |
137.220.181[.]142というIPアドレスが出てきました。
このIPアドレスを調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 |
inetnum: 137.220.128[.]0 - 137.220.191[.]255 netname: CTG220-128-JP descr: CTG Server Ltd. country: JP admin-c: RCPL3-AP tech-c: RCPL3-AP abuse-c: AC2487-AP status: ALLOCATED NON-PORTABLE mnt-by: MAINT-RCPL-SG mnt-irt: IRT-CTG-HK last-modified: 2022-03-30T17:10:01Z source: APNIC irt: IRT-CTG-HK address: 202 ,2/F Kam Sang BLDG 257,Des Voeux RD Central Hong Kong e-mail: removed email address abuse-mailbox: removed email address admin-c: RCPL3-AP tech-c: RCPL3-AP auth: # Filtered remarks: removed email address was validated on 2022-10-18 mnt-by: MAINT-RCPL-SG last-modified: 2022-10-18T07:21:10Z source: APNIC role: ABUSE CTGHK address: 202 ,2/F Kam Sang BLDG 257,Des Voeux RD Central Hong Kong country: ZZ phone: removed phone number e-mail: removed email address admin-c: RCPL3-AP tech-c: RCPL3-AP nic-hdl: AC2487-AP remarks: Generated from irt object IRT-CTG-HK remarks: removed email address was validated on 2022-10-18 abuse-mailbox: removed email address mnt-by: APNIC-ABUSE last-modified: 2022-10-18T07:21:36Z source: APNIC role: RACKIP CONSULTANCY PTE LTD administrator address: 399 Chai Wan Road, Chai Wan, Hong Kong country: SG phone: removed phone number fax-no: removed phone number e-mail: removed email address admin-c: RCPL3-AP tech-c: RCPL3-AP nic-hdl: RCPL3-AP mnt-by: MAINT-RCPL-SG last-modified: 2021-08-30T06:13:42Z source: APNIC % Information related to '137.220.137.0/24AS64050' route: 137.220.137.0/24 origin: AS64050 descr: RACKIP CONSULTANCY PTE. LTD. No. 3, Pemimpin Drive, #07-04 Lip Hing, Industrial Building, mnt-by: MAINT-RCPL-SG last-modified: 2020-05-20T04:57:18Z source: APNIC % This query was served by the APNIC Whois Service version 1.88.16 (WHOIS-UK4) |
日本のIPアドレスで、サーバーは東京にあるようです。
次に、メール本文中のリンクの遷移先について調べてみます。
本文をbase64でデコードしてみると、
|
1 |
<a href="https://aomdeax.affirmbp[.]com/" shape=rect>ログイン</a> |
https://aomdeax.affirmbp[.]com/というURLがリンクの遷移先です。
aomdeax.affirmbp[.]comは、affirmbp[.]comのサブドメインです。
このドメインのwhois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 |
Domain Name: affirmbp[.]com Registry Domain ID: 1482376826_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.discount-domain.com Registrar URL: http://www.onamae.com Updated Date: 2022-12-16T12:34:18Z Creation Date: 2008-05-29T14:31:41Z Registrar Registration Expiration Date: 2026-05-29T05:31:41Z Registrar: GMO INTERNET, INC. Registrar IANA ID: 49 Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number Domain Status: ok https://icann.org/epp#ok Registry Registrant ID: Not Available From Registry Registrant Name: Whois Privacy Protection Service by onamae.com Registrant Organization: Whois Privacy Protection Service by onamae.com Registrant Street: 26-1 Sakuragaoka-cho Registrant Street: Cerulean Tower 11F Registrant City: Shibuya-ku Registrant State/Province: Tokyo Registrant Postal Code: 150-8512 Registrant Country: JP Registrant Phone: removed phone number Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: removed email address Registry Admin ID: Not Available From Registry Admin Name: Whois Privacy Protection Service by onamae.com Admin Organization: Whois Privacy Protection Service by onamae.com Admin Street: 26-1 Sakuragaoka-cho Admin Street: Cerulean Tower 11F Admin City: Shibuya-ku Admin State/Province: Tokyo Admin Postal Code: 150-8512 Admin Country: JP Admin Phone: removed phone number Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: removed email address Registry Tech ID: Not Available From Registry Tech Name: Whois Privacy Protection Service by onamae.com Tech Organization: Whois Privacy Protection Service by onamae.com Tech Street: 26-1 Sakuragaoka-cho Tech Street: Cerulean Tower 11F Tech City: Shibuya-ku Tech State/Province: Tokyo Tech Postal Code: 150-8512 Tech Country: JP Tech Phone: removed phone number Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email: removed email address Name Server: 01.dnsv.jp Name Server: 02.dnsv.jp Name Server: 03.dnsv.jp Name Server: 04.dnsv.jp DNSSEC: unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2022-12-16T12:34:18Z <<< For more information on Whois status codes, please visit https://icann.org/epp |
お名前ドットコムで登録された日本のドメインですが、登録者の情報はプライバシーサービスで隠されています。
親ドメインとなるaffirmbp[.]comは日本のドメインでしたが、aomdeax.affirmbp[.]comにはモーリシャスのIPアドレスが紐づいていました。
安全を担保して、このURLにアクセスしてみます。
すると、
![[AMERICAN EXPRESS] ご請求金額確定のご案内というメールがフィッシング詐欺かどうかを検証する・遷移先画面1](https://ccsi.jp/wp-content/uploads/2022/12/20221216_amex_01.jpg)
このように偽のクレジットカード情報の入力ページが運用されていました。
このサイトの調査中に、このページは削除されました。
ページのIPアドレスは146.112.61[.]108でしたが、これは米国のOpenDNSというサービスで、フィッシングサイトとしてブロックされたためでした。
なおこのIPは、PhishTankにて疑わしいドメインとしてリストアップされています。
表示されているページは、American Expressカードの公式サイトによく似ており、ページ内にあるリンク遷移先は、右上の「お客様サポート」と「ログイン」以外は、公式サイトのページへ遷移するようになっていました。
ログインボタンを押すと、カード情報の入力を求められます。
[AMERICAN EXPRESS] ご請求金額確定のご案内 というメールというメールはフィッシング詐欺
[AMERICAN EXPRESS] ご請求金額確定のご案内 というメールがというメールはフィッシング詐欺です。
このメールの送信者名はAmerican Expressを名乗っていますが、American Expressカードの公式からの案内メールではありません。
メール本文もAmexカードの請求額案内とそっくりで、非常に紛らわしいメールです。
メールの送信元は日本国内となっていますが、メールからの遷移先は公式のURLではなく、米国の無料のDNSサービスで運用しているページでした。
メール本文内に示されるカードの下5桁の番号とメールの送信者・Return-Pathの情報をきちんと確認し、リンク遷移先のURLも必ず確認し、不正なサイトにクレジットカード情報や個人情報を入力することがないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:American Express,AMEX,スパムメール,フィッシング詐欺
関連記事
人気記事
