fbpx

Amazonフィッシング詐欺メールのすべて~進化する詐欺手法の現状と対策

Amazonをかたるフィッシング詐欺メールのイメージ
近年有名ブランドをかたる詐欺・フィッシングメールは激増中ですが、中でもAmazon をかたるフィッシングメールが被害の大部分を占めています。またAmazonをよそおう不正なショートメール(SMS)も増えています。
しかもフィッシングの手口はますます巧妙となり、見分けることが難しい危険メールも出現しました。
実際に届いたいろいろなアマゾンのフィッシングメールを難易度別に、見破るポイントやリスク、対策、また「うっかりクリックした」「ログインしてしまった」時の対応方法をやさしくご説明します。
/ins>

Amazonをよそおうフィッシング詐欺メールや、不正なショートメールが激増中!

2021年1月のフィッシング対策協議会の発表によると、2020年12月のフィッシング報告件数は、前月より1204件(+3%)増え30967件となりました。
増加率はやや減ったとは言え、依然として高い水準にあります。

2020年12月のフィッシング報告件数■引用:フィッシング対策協議会「2020/12フィッシング報告状況」より

フィッシング詐欺メールのブランド別の件数では、「Amazon、三井住友カード、楽天、MyJCB、アプラス(新生銀行カード) 、MY JCB」の順で全体の86%を占めています。

特にAmazonのフィシングメールはやや減少しましたが、それでも全体の5割を占めています。

多くの方がお使いのGmailやOutlookのようなメールサービスや、ご加入のプロバイダーのメールセキュリティサービスの防御効果により、フィッシング詐欺メールの大部分は「迷惑メール」として除去されているはずです。

しかしこれだけ件数が多く、フィッシングメールの偽装が巧妙化すると、防御をすり抜けてお手元に届く危険性も高まり、十分な注意が必要です

当ブログ関連記事

フィッシング詐欺のメールやSMS(ショートメッセージ)は、コロナの混乱狙いで激増しています。特に宅配便の不在通知を装う詐欺SMSはうっかりクリックしやすく危険です。しかし正しい知識と基本的な対策があれば恐れることはありません。「もし[…]

フィッシングSMSのイメージ

アマゾンのフィッシング詐欺メールの目的は個人情報の不正取得

目的はAmazonの手続をかたって個人情報の不正取得すること

Amazonのフィッシングメールや不正ショートメールの目的は、

ユーザーをだましてメール本文中のurlをクリックさせ、偽造された詐欺サイトに誘導し、個人情報入力させて盗み取る。

ことにあります。

そこで手口としては、

  1. 「アカウントの確認」「Amazonプライム会員の確認」「サインインの本人確認」「Amazonセキュリティ警告」などの名目でメール文のURLをクリックさせ、精巧なAmazon偽造サイトに誘導。
  2. ユーザー自らに「氏名、住所、クレジットカード情報などの個人情報」を入力させて盗む。

ケースがほとんどです。

Amazonのフィッシングメールや不正なショートメールはどうしてこんなに多いのか?

Amazonは全世界でもっとも利用者が多いECサイトであり、多くのユーザーが日々Amazonからのメールや通知を多数受け取っています。
つまり犯人にとっても、もっともフィッシングメールも潜り込ませやすい対象なのです

犯人達が利用する「フィッシングメール作成キット」や「Amazonをよそおう詐欺サイト作成キット」もブラックマーケット(ダークウェブ)で、安価に販売されています。

これからも多くの犯罪者が参入し、Amazonを狙うメール攻撃はますます激しくなっていくことでしょう。

フィッシング詐欺犯は人の心理を巧みにあやつる

人は誰でも、選択を迫られた際に、

  1. 「自分にだけは悪いことは起きないだろう」と楽観(=楽観バイアス)し、不安や警告を無視する。
  2. さらに、すぐに得られる利益や成果を優先して選択してしまう

と、「安易な選択をしてしまう」心理上の弱点を持っています。

この心理を双曲割引(そうきょくわりびき)といいます。

フィッシング詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。

Amazonをかたるフィッシングも同様で「何か起きてしまっている!」という不安を解決したばかりに、「怪しいメールではないのか?」という正常な判断を見過ごすことから被害にあってしまいます。

 

Amazonを狙ったフィッシング詐欺メールは日々進化中

最初のうちは未熟な日本語ですぐに見分けがついたが、、、、

フィッシングメールは、海外から送付されることがほとんどです

恐らく当初は機械翻訳などで翻訳していたため、不自然な日本語が目立ち、すぐに「怪しいメールだ!」と見分けることができました

日本語表記だけでは見分けがつかないフィッシングメールが増殖中

ところがこの頃、フィッシングメールが高度化し、

  • 「実際に使われているメールの本文やデザインをそっくり盗用した」ものから
  • 「いかにもAmazonから発信されたように見える架空のメール」

までが続々と出現しています。

また機械翻訳も精度が上がり、不自然さがなくなったほか、日本語ができる協力者を抱えたフィッシングメール詐欺集団もいるようで、日本語の違和感はなくなり、見分けることが難しくなりました。

事実フィッシングメールに返信してみたところ、不自然でない日本語で返事が来た例もあるほどです。

 

もしもAmazonから届いたフィッシングメールをクリックしたらどうなる?

本物のAmazonそっくりのログインサイトに誘導される

Amazonからのフィッシングメールの文中のURLやボタンをクリックすると、精巧に作られた以下のような詐欺サイトに誘導されます。

うっかり個人情報を入力してしまうと、犯人にさまざまな方法で悪用されてしまいますので、十分に気をつけましょう。

1.偽のAmazonのIDとパスワード入力ページ

実物のAmazonのログインページをコピーした「偽ログインページ」が開きます。ここに入力した情報はすべて盗まれてしまいます。

偽のAmazon会員情報登録ページ

2.偽の「登録情報更新」ページ

ログインすると、本物のAmazonページをコピーしたメインページに住所や支払い情報を入れさせる偽サイトが開きます。

そもそもAmazonの個人情報をメインページ上の別ウィンドウで入力するのは不自然ですし、お届け先が「アメリカ合衆国」になっているのも変です。

偽のAmazon会員情報登録ページ

3.偽の「お支払情報更新」ページ

カード情報を盗み取る詐欺ページです。日本では使われないカード「DISCOVER」があるのが不審です。

偽のAmazon会員情報登録ページ

4.偽の「メールアドレス情報更新」および「更新完了ページ」

日本語も怪しく不自然差が目立ちますが、ここで気がついてもそれまでに入力した情報は既に盗まれてしまっています。

大至急、本物のAmazonのサイトにログインし、パスワードを変更してください。

「難易度順」Amazonから届いたフィッシング詐欺メールの進化と、見分けるポイント

参考のため、筆者の元に届いたAmazonのフィッシング詐欺メールを日時順に並べて、フィッシングメールが次第に質を向上させている様子と、詐欺メールと見分けるポイントや対策をご説明します。

「フィッシングメールだ!詐欺だ!」と見分ける難易度を「C(やさしい)からA(難しい)」で並べてみました。

ブログ内の関連記事(新しいウィンドウで開きます)

近年激増している有名ブランドの詐欺・フィッシングメールの中で、JCBをかたるものは6位と上位です。JCBの詐欺メールは巧妙で、見ただけでは見分けることが難しく、クリックした先の詐欺サイトも極めて精巧なため簡単にだまされてしまいます。[…]

JCBを狙うフィッシング詐欺