今回は、迷惑メールが来てすぐにリンクを開いて、実際に偽サイトで操作できましたので、レポートします。
本物のAmazonからのセキュリティ警告の場合はこちら。
通常は、迷惑メールのリンクやボタンはクリックしないでください!
検証にあたっては、個人情報などを入れていない端末を利用しています。
また「アカウントの確認」と称するメールが届いた
これまでもAmazonを偽装するフィッシングサイトに誘導する迷惑メールはいくつもありまた。
ところが、これまではリンクをクリックしても、サイトそのものは表示されませんでした。
すぐに偽サイトという通報を受けて、ブラウザがサイトへのアクセスを停止したり、サイトそのものが閉鎖されてしまうからです。
そこで、生まれた疑問が「たった数時間しか動作しない偽サイトを作って、意味があるのだろうか?」ということでした。
届いたメールを見てみましょう。
すでにGmailのサーバーが「迷惑メール」と判断しています。
このメールが[迷惑メール]に振り分けられた理由
以前迷惑メールと判断されたメールに類似しています。
さすがAIも賢いですね。
ということで、注意しつつ中身を確認してみます。
送信元アドレスを確認する
まずは送信者の確認です。
メールヘッダの送信アドレスを見ると、本物に見えます。
しかし、メールのソースを確認してみます。
実際に送信されたのAmazonではなく、「mail0.jiangyehandaoa.com」というメールサーバだということがわかります。
「なりすましメール」です。
郵便でいえば、住所は自分で好きなように書けますが、消印は変えられないですよね。
「jiang ye han dao a」って、中国語っぽいですが、どんな漢字なんでしょう?
↑ AndroidスマートフォンのGmailアプリの場合。
偽メールの内容は「支払い情報の確認」
Аmazon お客様
Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
[Аmazon ログイン]
なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。
アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ: Amazonカスタマーサービス。
お知らせ:
パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。
どうぞよろしくお願いいたします。
Аmazon
メール内容からは、「クレジットカード情報の不備でAmazonアカウントの更新ができなかった」と書かれています。
「Amazonプライムなどの有料会員サービスの支払いができなかった」という設定なんでしょうか? そもそも有料サービスに登録していなければ、変だなと思ってくださいね。
ログインボタンの行き先は?
メール内に [Amazon ログイン]ボタンがありますので、慎重にURLアドレスを確認します。
やはり、Amazonにはリンクされていません。「ynzit.com/hagwahweh3fs2」という偽サイト特有のランダムなURLアドレスですね。
検証用のスマートフォンからアクセスしてみます。
Gmailアプリが不審なリンクの警告をしてくれた
すると、ここでもGmailが注意喚起してくれます。
不審なリンク
このリンクのリンク先は信用できないサイトです。ynzit.comにアクセスしてもよろしいですか?
Gmailの警告メッセージ
落ち着いて見るとよほどのことがないと引っかからなそうですが、メールアプリによっては注意のメッセージがないこともありますので、油断せずご注意くださいね。
フィッシングサイトに着いた
「続行」して、実際に表示されたのがこちら。
Amazonに登録しているメールアドレスとパスワードを入力させようとする、偽サイトです。
パスワードを盗み取ろうとする偽サイトのことを、「フィッシング・サイト」といいます。
この画面から不審な点がわかりますか?
本物のサイトに似せていますが、URLアドレスが「omiglsfksfg.fcty6.com」と異なってますね。
ですので、パスワード入力を求められたときは、まず URLアドレス を確認する必要があることがわかります。
パスワード入力の前に、必ずURLアドレスを見る!
偽サイトなのにセキュリティ保護がある!?
ちなみに、アドレス欄を見ると、セキュリティ保護の鍵マークが表示されていることがわかります。
偽サイトなのに、サーバ証明書を持っているんですね!
セキュリティ保護といっても、安心はできません。途中経路でパスワードが傍受されないだけで、偽サイトの犯人には届いてしまうんです。
サーバ証明書の内容を確認してみました。
omigisfksfg.fcty6.com
偽サイトのサーバ証明書
Google Chromeで、このウェブサイトの証明書が Let’s Encrypt Authority X3 発行のものであると確認されました。
Let’s Encryptは、非営利団体Internet Security Research Groupの運営する証明書認証局で、TLSのX.509証明書を無料で発行しています。
やっぱり、こういう偽サイトの場合は無料のサーバ証明書を利用しているんですね。
セキュリティ保護されているサイトだからといって、本物とは限らない
ウェブサイトの「セキュリティ保護」の意味についてはこちらで。
リダイレクトされている
ところで、偽サイトのURLアドレスを見ると、メールで表示されているURLアドレスと違うことに気づきます。
これは「リダイレクト」といいます。
「リダイレクト」は、別のウェブページに自動的に転送をする仕組みのことです。通常は、ウェブサイトやウェブページのURLを変更したときに利用されます。
引越しの転送指定ですね。
偽サイトと入口サイトを別にすることで、セキュリティソフトにアドレスが「偽サイト」とマークされる前の間隙を突こうとしているんですね。
実際にでたらめなパスワードを入力してみた
フィッシングサイトを操作していくとどうなるのでしょう。
試しに「詳細」や「パスワードを忘れた場合」など、画面内の青い文字も押して見ましたが反応しません。
このログイン画面が見かけ倒しであることがわかりますね。
適当なメールアドレスを入力して、適当なパスワード「12345678」を入力してみました。
そのまま画面が進みます。
本来、数字だけのパスワードはありえないのですが、進みました。
偽サイトの作り込みが甘いですね。
Google Chromeのパスワード警告が表示された
ちなみに、パスワードを入力して「ログイン」ボタンを押したときに、警告のメッセージが表示されました。
パスワードを変更してください
サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。
Chromeアプリのアラート メッセージ
omiglsfksfg.fcty6.com のパスワードを今すぐ変更することをおすすめします。
このメッセージは偽サイトが表示しているのではなく、Chromeアプリが表示しています。
Google Chromeのヘルプページを見てみると、Chromeアプリの[セーフ ブラウジング] をオンにしていると、「第三者のウェブサイトやアプリのデータ漏洩で流出したパスワードとユーザー名の組み合わせを使用している場合、Chrome でアラートが表示される」と書いてあります。
ちゃんと怪しいサイトでのパスワード入力も監視してくれているんですね。
もし、このような警告が出た場合、偽サイトにパスワードを入力してしまったことになります。そのユーザー名とパスワードの組み合わせは安全ではないので、すぐにパスワードを変更します。
とはいえ、偽サイトがこういうメッセージを出すこともあるので、落ち着いて対処しましょう。
こういうときはインターネットアプリを一旦閉じてから、いつもの方法でログインし直してからパスワード変更をするのがおすすめです。
詳しくは Google Chromeヘルプページにて。
アカウント情報(住所・電話番号)を入力する画面が出てきた
さて、警告メッセージを消すと、住所などを聞いてくる偽ページになりました。
画面のサイズが異様に小さいですね。怪しさが募ってきます。
ここでも、でたらめな住所・電話番号などを入力して進んでみます。
支払い情報を入力する画面が出てきた
すると、次は「クレジットカード」。ここもでたらめな情報を入力します。
クレジットカードのパスワード入力画面が出てきた
支払い情報の次に、そして表示されたのが、こちら。
クレジットカードのパスワードの入力を促す画面です。
クレジットカードをウェブ会員に登録すると、インターネットの支払いの際に、カード情報に加えて、確認パスワードを入力するようになるんですよね。
この確認画面は通常は決済時に表示されるので、このように「アカウント確認」で入力することはありません。
URLアドレスをみると、偽サイトのままですしね。
偽サイトの終了画面にたどり着く
ここでも、でたらめなパスワードを入力すると…
今、あなたは私たちのサービスを楽しむことができます信頼できるサービスをお選びいただきありがとうございますアカウントは24時間以内に確認されます10秒以内にアカウントにリダイレクトされます。
偽サイト
句読点のない不自然なメッセージで「信頼できるサービスをお選びいただきありがとうございます」と書いてあるのが、なんとも皮肉ですね。
全く信頼できません(笑)
この画面は10秒でAmazonに切り替わるのかと思ったら、一つ前のクレジットカード会社を偽装する画面になりました。
そこでループになったので、この偽サイト内のツアーはおしまいです。
偽サイトのその後(リダイレクトの厄介さ)
ちなみに、数日経って偽サイトがどうなっているのかもお伝えしておきます。
偽サイト(omiglsfksfg.fcty6.com)のアドレスには、つながらなくなっていました。
しかし、メールのリンクからは、フィッシングサイトにつながってしまいました。
内容は一緒の詐欺サイトが別のアドレス(garehr.zyqhwang.com)になっていたのです。
セキュリティサービスが偽サイトへのアクセスを制限しても、犯人側がメールのリンクURLのリダイレクト先を変更することで、詐欺メールが有効になっています。
いたちごっこですね。
これまでの事例ではすぐに詐欺メールが無効になっていましたが、今回はより厄介になっていることがわかります。
偽サイトをGoogleに通報するには?
今回のケースでは、フィッシングサイトだけでなく、メールのリンクURLも通報する必要があります。
実際にGoogleに通報してみます。
迷惑メールのリンクを長押ししてURLをコピーして、「フィッシング詐欺の報告」サイトに送信します。
こういう通報の積み重ねで、インターネットのセキュリティは確保されているんですね。
まとめ:偽サイトのアカウント確認の不自然さ
今回はフィッシングサイトに実際に引っかかってみました。
ログイン画面はかなり巧妙にできていました。
GmailやGoogle Chromeのセキュリティ機能が、要所要所で警告してくれるので、安心して進めました。
しかし、時期やアプリによっては警告が出ないこともあるので油断は禁物です。
ここで確認しておきたいことが一つあります。
それは、「アカウント情報の確認」とは何なのか?ということです。
メールに書かれるままに、「アカウント確認が必要」とパスワードや個人情報を入力する前に、そもそも自分が何の操作をしているのか考えることが大切です。
最後までお読みいただいて、ありがとうございました。
こちらもどうぞ。
