メールアドレスを持っている人なら、一度や二度は受け取ったことがあるであろう「偽アマゾン」からのメール。もしかすると、「毎日来る!」なんて人もいるのでは?
おたくま経済新聞では過去に、偽アマゾンからのメールについて調査記事を公開していますが、その後も続々と届きいまだ減る兆しをみせません。
そこで今回は、筆者のもとに届いた2つのメールから、最近の傾向について調べた結果を紹介していきます。
■ 偽アマゾンメールとは
偽アマゾンメールは、この数年無差別に送られている「フィッシングメール」のことです。
書かれているURLの先には、本物の「Amazon」サイトに似せたフィッシングサイトが用意されています。ここで個人情報を入力しなければセーフですが、ついうっかり入力して情報を渡してしまう人が後をたちません。
ちなみに最近では次の様なタイトルでばらまかれています。
「Amazonアカウントセキュリティに関する重要なお知らせ」
「Amazonアカウント認証通知」
「【重要】お支払方法に問題があり、プライム特典をご利用いただけない状況です」
「お客様のご注文がキャンセルされたことをお知らせいたします」
いずれも、なんとも気になってしまうタイトルばかり。アマゾンで買い物をすることは今や日常茶飯事。そんな中で「キャンセルされた」「セキュリティに関する重要なお知らせ」などと言われたら、つい書かれたURLをクリックしたくなってしまいます。
■ 偽アマゾンメール1通目
まずは1通目をクリックすると……案の定、明らかにヤバ目な赤い警告画面が出ます。
これはブラウザが出力している警告画面。フィッシングサイトなどの、危険なサイトに接続しそうな場合は、この様な画面を表示してくれ、被害を未然に防いでくれます。
また、URLをよくみると「amazon」ではなく、「amzaon」と微妙に異なります。こんなこざかしい手を使うとは……。
とはいえ、先を見なければ調査になりませんので、この助言を無視して先へすすめます。すると……今回はすでにサイトがなくなっておりました。
メールが到着したのが5月20日、調査を行ったのは5月22日です。わずか2日程度で閉じられたもよう。実はこれはよくあるパターン。フィッシングサイトは同じURLでは存在しつづけず、数日おきにURLを変えて再び登場します。手口も少し変えて。
■ 偽アマゾンメール2通目
さて、2通目も調べていきます。これは送信アドレスのドメインが「hotmail」というザルすぎる設定。気づく人はすぐにここで偽(フィッシングメール)だと気づけるでしょう。
しかしながら、気づかない人は気づかないはず。これもURLをクリックすると、「赤い警告画面」が表示されました。1通目と同じく、助言を無視して先にすすむと……今度はしっかりページが存在していました。
■ 偽アマゾンにアクセスしてみる
現れたのは、「偽アマゾン」のログイン画面。本物のアマゾンそっくりなページに遷移しました。
まず求められたのは、ログイン。メールアドレスを入力します。もちろん「捨てアドレス」を使います。
■ 偽アマゾンで個人情報を入れる
その先は、「名前」「住所」などの個人情報が求められました。相手は、ここで入力された個人情報を収集し、どこかへ転売していく可能性があります。
■ 偽アマゾンでカード番号を入れる
次に、フィッシングサイトではお馴染み「カード番号」の入力画面。今回は「Amazonプライム」の支払いがうまくいかないということなので、カード番号を入れるという行為自体は何ら不思議ではありませんが、あまりにも唐突すぎる……。
とりあえずここでは、テストコードと呼ばれる特殊な番号を入力してみます。
しっかり弾かれました。テストコードを弾くのは、前回偽アマゾンを調査したときと同じ。最近は「デタラメ入力」や「イタズラ防止」のため、チェックをしっかりしているフィッシングサイトは多いのです。
ただし前回は、複数のコードを試してみると、中には通るものがあり、その後再びカード入力画面が現れ、再度カード情報を求められました。それも入力すると登録完了画面(しかも「おめでとう」とお祝いしてくれた)が現れ、数秒後には本物のアマゾントップページに飛ばされる、という流れでした。
今回はどうでしょう?別のコードをいくつか試すと、そのうちの一つが「読み込み中」に。なんとなく通りそうな動きを見せました。
その後、5分ほど待っていると、何事もなかったかの様に読み込み中アイコンが消えて、画面はそのままの状態に。
おそらく、カード番号は通ったものの、もっとカード番号をよこせ、ということなのでしょう。近ごろこうして、複数のカード番号を入力させようという仕掛けが多くなっています。本当に欲張りな「偽アマゾン」。
■ 偽アマゾンに釣られると……
今回の「偽アマゾン」のような、フィッシング詐欺に釣られ、カード番号を入れてしまうと何が起きるのか。
正直言えば、その先にどの様な仕組みとなっているかは、知る術がないので予想でしかありませんが、おそらくは入手した「個人情報」や「カード番号」を利用し、不正行為をしたり、その情報をどこか闇の組織に転売したりと、やりたい放題やられてしまう可能性が高いと考えます。
クレジットカードが、突如何者かに使われ、身に覚えのない引き落としがある……なんて話はよく聞きますが、この様な手口で入手している可能性があるので、絶対に怪しげなメールはクリックしない様にしましょう。
(たまちゃん)
