・カード情報をガンガン抜き取りにくる悪質さ
ログインに成功すると、次に現れたのは「本人確認」のページだった。
「ご本人確認のため以下の質問にお答えください。カード表面のカード番号右上に表示されている4桁のセキュリティコードをご入力ください」と、本人確認を装ってカード情報を抜き取りにくる。
ここでも対策用のダミー番号を入力して「次へ」をクリックすると、続いて「カード情報の認証: 3桁のセキュリティコード」のページに誘導された。
今度はカード裏面の3桁のセキュリティコードを要求してくる。表面の4桁と裏面の3桁、両方を取りにくるあたりがエグい。ここも適当な数字を打ち込んで進むと……
ついに「本人認証情報の登録」というページに到達。ここでEメールアドレス、携帯電話番号、4桁の電話用暗証番号という、これまた大事な個人情報を一気に要求してくる。
それぞれにダミーの情報を打ち込んで、「更新する」のボタンをクリック。さらに次のページでは認証コードの入力を求められた。
そして最後の砦、「カード情報をご入力ください。」のページ。15桁のカード番号、4桁のセキュリティコード、カード有効期限を入力するフォームが現れる。
ここまで来ると、もう個人情報の総取り状態だ。すべて適当な情報を打ち込んで「次へ」をクリックすると……
画面がグルグル回り始めた。
そう、以前潜入した「冬季節電促進助成金」を装うフィッシング詐欺と同じパターンで、グルグル画面のままそこから一切進展しない状態に陥ったのである。おそらくこの時点で、入力した情報はすべて抜き取られた後ということだろう。
・被害に遭わないために
今回のセンチュリオン・カードを装うフィッシング詐欺は、入口のメールのクオリティがかなり高く、本物のアメックスのブランディングをうまく利用していた。
しかし、冷静に考えれば見抜けるポイントは複数ある。まず、本物のセンチュリオン・カードの招待は重厚な箱入りの郵便物で届くのが通例で、メールでカジュアルに案内されることはまずない。
次に、メールの差出人ドメインを確認すれば、本物の「@americanexpress.com」や「@aexp.jp」とは異なる怪しいドメインから送られていることが分かる。
加えてフィッシングサイトのURLも、「amkanrikyo.com」という、アメックスとはまったく関係ないドメインだった。本物のアメリカン・エキスプレスのログインページは「americanexpress.com」のドメインで提供されている。
ちなみにアメリカン・エキスプレスの公式サイトでも、フィッシング詐欺に関する注意喚起ページが用意されているので、一度目を通しておくことをオススメする。
──以上、最高峰カードを装う豪華なフィッシング詐欺の全貌だ。最後にいつも口酸っぱく言っていることを、もう一度繰り返したい。
「メールやSMSから、直接サイトにアクセスしないこと」
これに尽きる。どんなに豪華な招待状が届いても、心当たりがなければスルーするのが鉄則だ。本記事が被害拡大防止の一助になれば幸いである。
参考リンク:アメリカン・エキスプレス「フィッシング(なりすまし)詐欺にご注意ください」
執筆:耕平