しかもフィッシングの手口はますます巧妙となり、見分けることが難しい危険メールも出現しました。
実際に届いたいろいろなアマゾンのフィッシング詐欺メールを難易度別に、見破るポイントやリスク、対策、また「うっかりクリックした」「ログインしてしまった」時の対応方法をやさしくご説明します。
Amazonになりすましたフィッシングメールや、不正なSMSショートメールが激増中!
2021年6月のフィッシング対策協議会の発表によると、2021年5月のフィッシング報告件数は、前月より9,291件と大きく減少し(▲79%)、トータル35,016 件となりました。
ずっと増加傾向が続いていたなかで、非常に喜ばしいことですが、Appleの新iOSへの移行にともなうプライバシー強化の影響など一時的な減少の可能性もあり、予断を許しません。
■引用:フィッシング対策協議会「2021/05フィッシング報告状況」より
画像引用:フィッシング対策協議会
フィッシングメールのブランド別の件数では、「Amazon、楽天、三井住友カード、イオンカード、JCB」の順で全体の76.6%を占めています。
Amazonからのフィッシングメールは全体の46.6%と前月より27.3%減少しましたが、それでも膨大な数です!
多くの方がお使いのGmailやOutlookのようなメールサービスや、ご加入のプロバイダーのメールセキュリティサービスの防御効果により、フィッシングメールの大部分は「迷惑メール」として除去されているはずです。
しかし大量のフィッシングメールが送られているため、対策が間に合わず、一見しただけでは見分けの使いない精巧なフィッシングメールがお手元に届く危険性も高まるため、十分な注意が必要です。
フィッシングの詐欺メールや詐欺SMS(ショートメッセージ)の中で、佐川急便、ヤマト運輸、郵便局(日本郵便)をかたる宅配便の不在通知~「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました」などの詐欺SMSはうっかりクリックし[…]
アマゾンのフィッシングメールの目的は個人情報の不正取得
目的はAmazonになりすまし、手続と偽って個人情報の不正取得すること
Amazonのフィッシングメールや不正ショートメールの目的は、
ユーザーをだましてメール本文中のurlをクリックさせ、偽造された詐欺サイトに誘導し、個人情報入力させて盗み取る。
ことにあります。
そこで手口としては、
- 「アカウントの確認」「Amazonプライム会員の確認」「サインインの本人確認」「Amazonセキュリティ警告」などの名目でメール文のURLをクリックさせ、精巧なAmazon偽造サイトに誘導。
- ユーザー自らに「氏名、住所、クレジットカード情報などの個人情報」を入力させて盗む。
ケースがほとんどです。
Amazonのフィッシングメールや不正なショートメールはどうしてこんなに多いのか?
Amazonは全世界でもっとも利用者が多いECサイトであり、多くのユーザーが日々Amazonからのメールや通知を多数受け取っています。
つまり犯人にとっても、もっともフィッシングメールも潜り込ませやすい対象なのです。
犯人達が利用する「フィッシングメール作成キット」や「Amazonをよそおう詐欺サイト作成キット」もブラックマーケット(ダークウェブ)で、安価に販売されています。
これからも多くの犯罪者が参入し、Amazonを狙うメール攻撃はますます激しくなっていくことでしょう。
フィッシング詐欺犯は人の心理を巧みにあやつる
人は誰でも、選択を迫られた際に、
- 「自分にだけは悪いことは起きないだろう」と楽観(=楽観バイアス)し、不安や警告を無視する。
- さらに、すぐに得られる利益や成果を優先して選択してしまう
と、「安易な選択をしてしまう」心理上の弱点を持っています。
この心理を双曲割引(そうきょくわりびき)といいます。
フィッシング詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。
Amazonをかたるフィッシングも同様で「何か起きてしまっている!」という不安を解決したばかりに、「怪しいメールではないのか?」という正常な判断を見過ごすことから被害にあってしまいます。
「貴方のデバイスにハッカーがアクセスしています。詳細を今すぐ確認してください!」のメールは人の性的な弱みにつけ込む「セクストーション詐欺メール」です。架空の脅しメールがばらまかれているだけと知らない初心者や高齢者が、「本当にハッ[…]
Amazonになりすましたフィッシングメールは日々進化中
最初のうちは未熟な日本語ですぐに見分けがついたが、、、、
フィッシングメールは、海外から送付されることがほとんどです。
恐らく当初は機械翻訳などで翻訳していたため、不自然な日本語が目立ち、すぐに「怪しいメールだ!」と見分けることができました。
日本語表記だけでは見分けがつかないフィッシングメールが増殖中
ところがこの頃、フィッシングメールが高度化し、
- 「実際に使われているメールの本文やデザインをそっくり盗用した」ものから
- 「いかにもAmazonから発信されたように見える架空のメール」
までが続々と出現しています。
また機械翻訳も精度が上がり、不自然さがなくなったほか、日本語ができる協力者を抱えたフィッシングメール詐欺集団もいるようで、日本語の違和感はなくなり、見分けることが難しくなりました。
事実フィッシングメールに返信してみたところ、不自然でない日本語で返事が来た例もあるほどです。
もしもAmazonから届いたフィッシングメールをクリックしたらどうなる?
本物のAmazonそっくりなりすましたログインサイトに誘導される
Amazonからのフィッシングメールの文中のURLやボタンをクリックすると、精巧に作られた以下のような詐欺サイトに誘導されます。
うっかり個人情報を入力してしまうと、犯人にさまざまな方法で悪用されてしまいますので、十分に気をつけましょう。
1.偽のAmazonのIDとパスワード入力ページ
実物のAmazonのログインページをコピーした「偽ログインページ」が開きます。ここに入力した情報はすべて盗まれてしまいます。
2.偽の「登録情報更新」ページ
ログインすると、本物のAmazonページをコピーしたメインページに住所や支払い情報を入れさせる偽サイトが開きます。
そもそもAmazonの個人情報をメインページ上の別ウィンドウで入力するのは不自然ですし、お届け先が「アメリカ合衆国」になっているのも変です。
3.偽の「お支払情報更新」ページ
カード情報を盗み取る詐欺ページです。日本では使われないカード「DISCOVER」があるのが不審です。
4.偽の「メールアドレス情報更新」および「更新完了ページ」
日本語も怪しく不自然さが目立ちますが、ここで気がついてもそれまでに入力した情報は既に盗まれてしまっています。
大至急、本物のAmazonのサイトにログインし、パスワードを変更してください。
「難易度順」Amazonから届いたフィッシングメールの進化と、見分けるポイント
参考のため、筆者の元に届いたAmazonのフィッシングメールを日時順に並べて、フィッシングメールが次第に質を向上させている様子と、詐欺メールと見分けるポイントや対策をご説明します。
「フィッシングメールだ!詐欺だ!」と見分ける難易度を「C(やさしい)からA(難しい)」で並べてみました。
近年激増している有名ブランドのフィッシングメールは、見ただけでは見分けることが難しく、クリックした先のフィッシングサイトも極めて精巧に作られているため簡単にだまされてしまいます。実際に届いたJCBおよびMUFGカード、EPOSカード、U[…]
