進化するフィッシングメール。一応、天安門。
今回受信したフィッシングメールは完成度が高く、私でもニセAmazonサイトへアクセスするであろうレベルとなっており、誘導方法や日本語の自然さに関心したので紹介、間違えた警鐘。
普通に騙される人がいそう。
精巧さの高いニセAmazonからのお便り
現物のスクリーンショットがこれ。
注文番号はデタラメだろうし、住所を調べてもその場所にグランドール調布は無かったので、読者の皆様もリアルさをお求めだろうとしてモザイクなしで。
以前、ニセ楽天からのメールでもあったと似た手口で、これを見て第三者が自分のクレジットカードを使用してAmazonで買い物をされたと焦らせることが狙い。
下まで全文読んでみたけれどAmazonの本物から完コピしているのか日本語のおかしなところが1つも無く、警戒心ないならそのまんまリンクをクリック、スマホなどはタップするしかないはず。
差出人欄は amazon.co.jp で宛先は自分のメールアドレス1つだけ。このスクリーンショットで不自然なところは1点しかなく、冷静さを欠くと気付けないと思う。住所の下に名前が無い、不自然ポイントはここだけ。
しかもこのメール、スーツの裏地にまでこだわるかのごとき丁寧さがあり、個人的にはこちらの方に驚いた。上のスクショはHTML表示、私が普段見ているのはこのテキスト表示の方。
何が凄いかはテキスト表示にしてもフィッシングかどうか判断できないところで、先程書いた「名前が無い」だけクリアしていたなら本当にわからない。
また、名前が無くともこれが本物の盗人の手口ならば、調布市~の行までを住所として、氏名欄にグランドール~を書いていると想像すると届くのかも?と勘ぐれましょう。
なぜテキスト表示でフィッシングと判断できないかはURLが1つも表示されないという、要するにHTMLとTXT版の2種類をわざわざ作っている巧妙さが素晴らしい。いや凄まじい。
私がフィッシャー側なら、テキスト表示しているような人が騙されるとは思えないしURL丸見えなのでこちらは捨て、テキスト版だけ本物のAmazonのURLを書いておけば更に完成度が高まる。
この段階で私がフィッシングと判断できた材料は以下。
- pub@bto-pc.jp はAmazonに登録していない
- HTMLにはリンクがあるがテキスト版に1つも無い
- HTML版のリンク先が http://amazon-co-jpweb.co ※ガチ注意
- メールヘッダが Return-Path: <dyyxzlw@hiku.co>
普通の人は1で「あれ?」と思うやも知れず、しかし偶然Amazonに登録しているメールアドレスなら1アウト。HTML表示にしているなら2アウト。スマホなどで表示しているなら3アウトの可能性が高まる。4までやる人は滅多に居ない。
ちなみに上でガチと書いた通り、URLは本物のフィッシングドメインなので行くなら自己責任にて。
実際アクセスできてしまえていた(過去形)
さて、ここまで完成度の高いフィッシングとなると実際にどこまで精巧に作り込まれているか確認したくなるのがヒツジ先輩。
というわけでログイン画面がこちら。
空欄のまんまログインボタンを押してみるも赤文字でメールアドレス入れろとまともな日本語で注意が表示。
仕方ないので適当に p@p.com と入れてログインボタンを押すとこれ。
先程から若干フォントに違和感がある、Amazonのサイトっぽくない点が気になるものの、そこまで感じる人は少ないと思う。
そしてパスワードも適当に 1 とか入れてログインボタン。
この時点でメールアドレスとパスワードは盗まれてしまったはずなので、本物のAmazonへログインされてアフターフェスティバル。ここからはカード情報も盗めるといいな的なボーナスチャンス。
上手い。けれどついにボロが出ましたな。まずSSL非対応。※URL左「保護されていない」
そしてアカウントサービスの下「私たちは最近、珍しいログイン活動を発見しました」は頂けない。また、住所追加への誘導は良かった割になぜここで「アカウントを保護」とか関係ないことを書いてしまったのか。「必要な手順を」も変。
しかしあわてている人ならばこの行は読まずに名前や住所などを入力し、盗人の発注をせめて自分の元へ取り返そうとするかも知れないけれど、ここでもやらかしており「瀬文 太郎」は無いでしょう。偽セブンイレブンのフィッシングから流用したのだろうか。
更に冷静に考えることができる人ならば、どうして住所の入力で生年月日が必要なのかという疑問も持つかと。
しかしカード情報入力フォームはパーフェクト。
「配達を支援するために」ェ・・・
全然SSL暗号化されていないとしてもSSL知らない人には何のことかわからない。
試しにカード名義人や番号などをデタラメに入力したものの間違っていると警告され次に進めず。カード番号のチェックデジットまで導入しているとか、どこまで作り込まれているのか感心、間違えたあきれる。
Chromeブラウザの防御は遅い
フィッシングサイトはブラウザが警告してくれるから大丈夫と思っているなら考えを改めましょう。
この画面が出始めたのは私がメールを受信した翌々日なので約2日間は騙されタイムがフィーバー状態で放置されていたわけで。
無理やりアクセスしてみるとURLの左が「危険」の文字へ変化。なぜかURL、ドメインも変わっております。
しかし2日要したとはいえフィッシング判定してブラウザ表示の段階で警告、止めてくれるのはありがたいし良いこと。
ところがなぜフィッシングURLが存在しているとGoogle側にわかったのかを想像すると、私らがどこにアクセスしているか監視されていると思えばキモい。
情弱はメールのリンクも絶対に踏むな
上手い表現が思い当たらず「情弱」としたけれど、要するに私(ヒツジ先輩の中の人)よりも警戒心の薄い、本当にフィッシングに騙されそうなレベルの人を指しております。
例としては私の母親がそれにあたり、今回の激ウマ詐欺メールを見て「うちの母なら引っかかるな」とほぼ確信した、そういう人のこと。
ここまでハイレベルになると見分けろという方が無茶振り。ではどうすれば良いかは、メールの添付ファイル開くなに加えてリンクは踏むなにまで発展せざるをえない。
面倒でもショップや銀行などからのメールは見るだけにしてブックマークや検索からしかそのサイトへは行かない、くらい制限しなければいつか必ず事故る日が来るはず。
代替サービスとしては、スマホのアプリで買い物ができたりも増えているため、メールを使わず決済などできるのならばそちらの方向へ切り替えるべきとも。
また、数日でフィッシング判定されてドメインなどが無駄になろうともこの手の犯罪が減らない理由を考えると、その数日間で充分元が取れるほど騙される人が多いから美味いやり方になっていると推測可能。
今回のフィッシングメールは、サイト側の日本語さえ完璧ならば騙される人はもっとたくさん居たかも知れない。
また、本当にMacbook Proが発注履歴ページにあり、お届け先変更などもっと完成度を高めたなら、URLのドメインを良く見るしか判断する方法が無くなりそう。
逆にいうと、ドメインを良く見ない人は判断する方法が無くなるので、そういう人はメールのリンクを絶対踏まないようルール変更した方がよろしいかと。
簡単にいうと、私がフィッシングチームに居たならドメインでの判断以外では見分けがつかないパーペキなお便り&釣り堀を構築できる。
最近に届いた迷惑メールで面白かったのは「From:Amazon.co.jp、件名:楽天安全異常」ですかね。
Amazonから楽天IDのお知らせが届く。そうフィッシングメールならね。
>現物のスクリーンショットがこれ。
>このスクリーンショットで不自然なところは1点しかなく
現物と違う点をヒツジ先輩の指摘以外に挙げますと
1.支払ったクレジットカードの種別が書いていない(MasterやJCBなど)
2.Amazonの注文番号には必ず「-」が入る
3.「注文日:1」は意味不明
4.2020年モデルのMacBook Proに同様のスペックで 175,770円 前後の商品は無い
これらですかね。決定的なのは3。注文日の記載が無いのは異常。
>URLは本物のフィッシングドメインなので行くなら自己責任にて。
すでに消滅しているご様子。
>先程から若干フォントに違和感がある
いわゆる中華フォントですね。カタカナに特徴あり。
>カード番号のチェックデジットまで導入している
ニセ動画サイトとかニセショッピングサイトとかはだいたい導入していますね。そういうサイトを調査するときには、ネットクレカのVプリカをオススメ。迷惑メールに来る会員制の怪しいショッピングサイトを覗くときに便利。ボタン1つでカード番号の変更もできますから、被害額はゼロに抑えられます(私の経験上)。
ネット専用Visaプリペイドカード|Vプリカはどうやって買うの?
https://vpreca.dga.jp/faq_detail.html?category=&page=500&id=2277
>「うちの母なら引っかかるな」とほぼ確信した
知識の無い方は「何をすれば良いのか分からない」ので、何もしないから結果的に被害が出ない可能性も高いです。私の周囲で未だスマホさえ使えない層は「分からないから何もしない」か「分かる人に聞くまで何もしない」という反応が多いです。
逆にスマホをある程度は使えて、仕事でのみPCをバリバリ使っている方は「よく分からないけれど○○してみたら□□になってしまった」という、知識不足で墓穴を掘る傾向がやや強い印象。
アマゾンは一切使わない(現在)のですが、大昔に一度だけ使ったことが有ります。
この記事を見た直後に
>Amazon.co.jp アカウント所有権の証明(名前、その他個人情報)の確認
などというメールが着弾しました。
別にこれからアマゾンを使う予定が無い為、読むことも無くサクッと削除しました。
ですから、本物かどうかは不明です。
表題を見ただけでも怪しさ満載ですが。
何種類かパターンが有るのでしょうかね。
ヒツジ先輩に届いたメールと同じくらいクオリティの高いAmazonフィッシングメールが私にも届いたので、キャプチャ画像から紹介。なお画像はリサイズすると画質が落ちるので馬鹿でかい。容量は1枚500KBくらいある画像もあるので、ギガが気になる方は非アクセスを推奨。
HTMLメール
https://i.imgur.com/Al6etPk.jpg
textメール
https://i.imgur.com/F6NuF7L.jpg
メールヘッダー
https://i.imgur.com/Wxh7jBL.jpg
フィッシングのリンク先
https://i.imgur.com/ywDgqkz.jpg
嘘だと分かる点。
1.本文には「6月9日にプライム会員の資格が~」だが、メールが届いたのは9月20日
2.プライム会員の支払い方法はクレカ以外も可能(携帯決済、Amazonギフト券など)
3.Amazonプライムの会員費は登録してあれば別のクレカから断りなく勝手に引かれる
ぱっと見ただけだと判断材料が少ないので、Amazonから警告が来た、と焦ってクリックする方は引っかかるやも。
なお私の情報にはモザイクを掛けていますが、面倒なので送信主の情報は全公開なのは仕様です。面倒でそこまで手が回らず。
当方のメールに着弾しているのは今のところ、Amazon>楽天>SMBC>ドコモ系。完成度で言えばAmazonですな。月100万ドルをスイス銀行に入れてくれるなら監修するかも知れない。ゴルゴ13風に。
メールアドレスを何十個か持っているとこいつらわかりやすく、私がAmazonや楽天などで登録しているメルアドは1つに対して似た内容のフィッシングをぶち込んで来るので「下手くそ」としか思えず。
数打てば当たるのだろうけれども、中にはダミーをいくつも持っているPCオタクがいるのだけれども、そういうPC変態は彼らのターゲットではないのでしょう。