「Amazonプライム会員資格のキャンセルについて」の件名で送られてくるフィッシング詐欺メール被害が増えています。
Amazonプライムでは、8月24日から値上げされます。月額は100円増の600円、年額は1000円アップの5,900円。それを悪用したフィッシング詐欺のようです。その内容と対処方法について解説します。
詐欺メールの情報
- 件名: Amazonプライム会員資格のキャンセルについて
- 差出人:Amazon Prime
- 差出人のメールアドレス:support@service.mpgfwsl.cn
このメールはフィッシング詐欺と呼ばれるメールなので、絶対にメール内のリンクをクリックしないで下さい
送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
海外から送られている事が多く、メールの本文は日本語が不自然なので、落ち着いて読めばインチキメールだと分かる内容の事が多いです。
メール内容
実際に送られているメールです
【件名】Amazonプライム会員資格のキャンセルについて
Amazonプライム会員資格のキャンセルについて
Amazon.com
マイストア | タイムセール | ギフト券
お客様のプライム会員資格は、一時停止されてから3日以内に再開されなかったため、自動的にキャンセルされました。今後はプライム会費のご請求は発生いたしません。
Amazonプライムに再登録される場合は、商品のご注文時や、 Amazonプライムのページから、ご登録いただけます。
今後ともAmazonをよろしくお願いいたします。
Amazon.comカスタマーサービス
プライムに再登録する
© Amazon.com, Inc. or its affiliates.All rights reserved.Amazon、Amazon.com、Prime、Amazon.comのロゴ、および1-Clickは、Amazon.com, Inc.またはその関連会社の登録商標です。Amazon.com, 410 Terry Avenue N., Seattle, WA 98109-5210.
このメッセージは xxx@xxxxxxxxxxx.com に送信されました。
以前は、海外から贈られてくるフィッシング詐欺メールは、稚拙で直接的な日本語文章ばかりでした。最近は、自然な日本語で書かれるようになってきました。そもそもサポートメールで、ユーザーの名前が書いて無いという事はあり得ないです。
フィッシング詐欺メールを一発で見破る方法は、ユーザー名の代わりに「メールアドレス」が書かれている点です。
迷惑メールの送り主
メールのヘッダー情報から送信元をチェックしてみました。
- Received: from vmi1392165.contaboserver.net (HELO service.mpgfwsl.cn) (95.111.228.245)
- Return-Path: <support@service.mpgfwsl.cn>
- Date: Sun, 13 Aug 2023 02:20:14 +0800
このメールの返信先に使われているドメインは「mpgfwsl.cn」は「阿里云-计算」という中国のサーバ会社を使って登録されていました。
正規のAmazonからのReturn-Pathヘッダーは、「〇〇〇〇@bounces.amazon.co.jp」となっています。.cn(チャイナドメイン)のアドレスから送られてくる事は絶対にありません。
それ以外にもAmazonからのメールには、独自のヘッダー(X-AMAZON-METADATA:、X-AMAZON-MAIL-RELAY-TYPE: notification )が付いているので、ヘッダーをチェックすれば偽物は簡単に見抜く事ができます。
このメールのタイムスタンプは +0800 となっています。通常日本国内から送れば+0900となるのですが、正規のAmazonが使用しているメールサーバからは GMT/UTC+0000 (グリニッジ標準時)の時間のタイプスタンプが付いて届きます。
ちなみにUTC+0800 (CST)は、中国標準時です。中国国内からタイムスタンプの改変はせずに詐欺メールを送っているようです。
飛び先ページについて
試しに飛び先ページを開いてみました。「https:://amzone.co.jp.fauho.com/」を開くとAmazon.co.jpを巧妙に偽装していました。
適当なメールアドレスとパスコードでログインしてみました。何を入力しても先に進めるみたいです。
「更新するまでアカウントにアクセスできません」の表示とともに、請求先住所を変更するという画面に入ります▼
適当に入力して進めると、次はクレジットカードの情報を求めてきます▼
これも適当に入力してみると、3Dセキュアまで求めてきました▼
全ての入力が終わると、正規のAmazon.co.jpに移動しました。
このサイトは、Amazonを装ったフィッシング詐欺で良く使われているフォームを流用しているようです。以前「Amazonプライム会費のお支払い方法に問題があります、個人情報を更新してください」の件名で送られて来たフォームと酷似していました。
すでにGoogleの方に「フィッシング詐欺の報告」としてURLを送っておきましたが、記事執筆時はまだ該当URLに対策されていません。
このURLは一例です。フィッシング詐欺グループは、次々とドメインを変更しますので、Goolgeやセキュリティソフトのブラックリストに掲載前の新URLで届く可能性があります。
また古いパソコン(ブラウザ)をお使いの場合、フィルターでブロックする事ができない場合もあります。
フォームに入力してログインすると、アマゾンのアカウントが乗っ取られる恐れがあります。また今回の詐欺メールでは、支払いカードの情報の入力を求めています。カード情報を入力してしまうと、不正使用・送金される恐れがあります。
決してログイン・情報の入力をしないようにして下さい
ちなみに「fauho.com」のドメインは、ホスティングサービスを展開している「Xiamen ChinaSource Internet Service Co., Ltd(zzy.cn)」を使用して登録されていました。
レジストラ名が代理登録されており、ドメインの持ち主情報は分かりませんでした。
対処法
このメールは無視して破棄するだけで構いません
万が一間違えて、ログインフォームにユーザー名(メールアドレス)とパスワードを入力してしまった場合、即時にパスワードを変更して下さい。
カード番号を入力してしまった場合は、カード会社にその旨を伝えて対策を取ってもらってください。
フィッシング詐欺の犯人は、得た認証情報を使って楽天などの他のECサイト、証券会社、銀行など、その組み合わせ(ID/パスワード)でログインを試行して悪用する可能性があります。
同じパスワードを使いまわしている場合、全ての登録パスワードを変更する必要があります。
またフォームに入力していない場合でも、サイトを閲覧した事でウィルスやマルウェア、ワームに感染している可能性があります。
スマートホン、パソコン内のウィルスチェックを実施するようにして下さい。
![](<iframe loading="lazy" style="border: none;" src="https://rcm-fe.amazon-adsystem.com/e/cm?o=9&p=12&l=ur1&category=amazonrotate&f=ifr&linkID=bb320a91480164f0918989fba0102eb9&t=rezv-22&tracking_id=rezv-22" width="300" height="250" frameborder="0" marginwidth="0" scrolling="no" data-mce-fragment="1"></iframe>)
タカシ
コメント