先日、アマゾンからの通知メールを偽装したメールを受け取りました。
こういったメールは、たまに本物と見間違う内容の場合もあるので注意してくださいね。
とりあえず今回のメールは、
- メール開封だけでは何も起きない!
- URLクリックだけでも被害なし!
- ログイン・情報入力したらマズい!
という感じ。
詳しく見ていきましょう。
Amazon「今すぐあなたのアカウントを確認してください。」
受け取ったのは深夜で、差出人がAmazonです。タイトルも気になるのでさっそく開けてみました。
Amazonカスタマーサービスと思わせる差出人からの通知。
差出人:Amazon
タイトル:今すぐあなたのアカウントを確認してください。本文:
アカウントが一時的に停止されました。これは通常、次のいずれかによって引き起こされます。
・複数のログイン失敗
・不正確なアカウント情報
・不正なアカウント操作
・認識されていないデバイスからログインしてくださいあなたのアカウントにログインし、以下のリンクをクリックすることで解決し
ログイン
あなたの詳細を保護するだけで完了するまで数分かかります。
宜しくお願いしますAMAZONカスタマーサービス
Amazonのアカウント情報がおかしいという警告通知です。
本文の日本語がちょっとおかしいですね。
書いてるの、日本人じゃないでしょ? みたいな文章です。
これはあなたの個人情報を盗み取ろうとする詐欺メールです。URLへアクセスせずにゴミ箱へ捨てることをお勧めします。
アクセス先は本物そっくり!
ログインしようとしてはダメです!
とはいっても、気になるのでアクセスしてみました。
本物とそっくりのログイン画面
(左)本物そっくりのログイン画面 (右)お支払い方法を更新してください! という警告。
アクセスするとAmazonと似た雰囲気のログイン画面が表示されました!
しかし、よく見るとアマゾーン・ジャパンです!! 笑
「商標は侵害してないぞ」ってことなんでしょうか?
違和感はありますが、スマホで見ていたら本物のサイトと間違えそうです、これ。
ここでは、絶対にアカウントとパスワードを入力してはいけません。
ここで入力した情報を盗み取るのが目的です。
氏名・住所・カード情報等を入力させる
氏名、住所、生年月日、電話番号、クレジットカード情報の入力画面。
ログインすると、氏名、住所、クレジットカード情報などを盗み取る画面。
支払い情報がおかしいという話だったのに、氏名や住所・電話番号も一から入力させるシステムってなんなんでしょう。
絶対怪しいでしょ?
セキュアコードの入力
(左)クレジットカードのセキュアコードの入力を求められる。 (右)すべて完了すると「おめでとう」の文字。
クレジットカードのセキュアコード入力ってのが、なんともそれっぽい感じですよね。
あるある、こういうサービス!
入力後は本家サイトを表示
入力が終わってボタンをクリックすると、本物のAmazonショッピングサイトへ移動しました。
画面の小さいスマホで操作していると流れも自然なため、まったく気づかないという可能性もありそう。
本当にこれはひどい仕組みになっています。
ログインしてしまった!
このようなメールを受け取ったら、迷わずゴミ箱へ捨ててください。メール開封だけでは悪い影響はないと思います。
万一、ログインしてしまったり、個人情報を入力してしまった場合には以下の対応をお勧めします。
アカウント・パスワードを入力した!
もし、本物のサイトと間違えてログインアカウントのメールアドレス・電話番号、パスワードを入力してしまった場合、Amazonに登録しているアカウント情報を変更しましょう。
アカウントIDを変更したくない場合でも最低限パスワードは変更してください。
また、同じメールアドレス・パスワードの組み合わせを利用する他のサービスがある場合には、そちらでもパスワードを変更するのがより安全。
クレジットカードを入力した!
クレジットカード番号を入力してしまった場合には、まずカード会社へ相談してみましょう。
万一、不正利用が発覚したとしてもカードの盗難補償の対象となる場合があります。
住所・氏名を入力した!
住所・氏名・生年月日などの個人情報を入力してしまった場合には少し困りものです。実害が予測できないのですぐ対応できることが思いつきません。
ただ、心配しすぎることはありません。万一なにかのトラブルに遭った場合には、警察・消費者生活センターなど相談できる窓口はあると思います。
どこから情報が流出した?
今回のメールに関しては、Amazonからの情報漏えいではありません。
相手はメールアドレスしか知らないのですから、過去に迷惑メールを送ってきていた相手が送信元をかえて送ってきただけのようです。
心配し過ぎずメールはゴミ箱へポイしてください。
誰がこんな詐欺サイトを?
目的は個人情報の取得。氏名とカード情報があればいろんなサービスでカードの不正利用ができそうですし、新たにサービスを利用する際の登録情報として住所や生年月日などの情報もあるとありがたいってことなのでしょう。
サイト自体はうまく作っていると思うのですが、よく見れば詐欺サイトってすぐわかるじゃないですか。
気合は入っているのですが、日本語がおかしかったり、作りが粗雑な部分があったりします。犯人は外国人でしょう。中国が多い印象。
僕のもとには過去、今回と似たような文面で、タイトルのみ「アカウント内のAmazonの支払い情報を更新してください」や「あなたのAmazonアカウントは無効になります」というメールが届いたこともあります。
URLは毎回少しずつ替えているようですが、サイトの作りはほとんど一緒。
以前は、管理が甘い一般企業サイト(海外)をハッキングして、そこへフィッシングサイトを併設するというケースが多かったのですが、最近は詐欺専用の独自ドメインを取得してサイト開設するという気合の入れよう。
困ったものです。
さいごに
まるで本物のAmazonと間違えるような詐欺メールと詐欺サイトをご紹介しました。
怪しいと思ったらURLにはアクセスせず、本家のAmazonのサイトへ直接アクセスして確認するようにしましょう。
