かみあぷでは以前、ワンクリック詐欺サイトや新iPhoneのテストユーザー選ばれたなどとするフィッシング詐欺をご紹介してきましたが、今度はAmazonにそっくりな偽サイトで被害が出ているそうです。
Twitterで紹介されていたAmazonそっくりの偽サイトは、見た目はそっくりでアカウント名とパスワードを盗み取ろうとするフィッシングサイト。
一体どんなサイトなのか、実際に比べてみたのでその違いと騙されないようにどこに注意したらいいのかをご紹介します!
URLを見ないと気付かないくらい、見た目はそっくり
Twitterにて、Amazonの偽メール、偽SMSから偽サイトへ誘導される被害が出ているとの投稿がありました。
え……何となくGmailの迷惑メールの所を確認していたら、自動でAmazonからのメールが迷惑メール設定されていて、おかしいなと思ったら…よくよく調べてみたらAmazon公式じゃなくて偽サイトからのメールでした( ̄▽ ̄;) しかもクレジットカードの情報を抜き取ろうとする系のやつ!
—FuchiKana(@KANAKOxK_0223)2022年1月3日
いつものフィッシグ詐欺でAmazonのサインイン画面を偽装しているタイプかなと、偽サイトのURLを入力してみると…
Amazonのトップ画面がお出まし。これはもしかしたら偽サイトとは気付かないかもしれない。
iPhoneのSafariで本物と偽物を並べてみても、違和感なし。
試しに偽のアカウントとパスワードでサインインしてみると、なぜかパスワード変更画面が表示されます。
さらにその後には支払い方法の再入力画面まで。気付かなければ、アカウント情報だけでなくカード情報まで取られてしまいます。
と言ってもトップページ以降は、iPhoneだと表示がおかしいでの違和感を感じて気付く可能性もあるのですが、パソコンで開くと、トップページは上部のスライド部分まで完全に一緒でですし、
パスワード変更などの画面にも違和感がないので、知らなければ入力してしまいかねません。
じゃあ、どうすりゃいいのよ?という話なのですが、注目はブラウザのアドレスバー。
まずURLが違います。本家は「https://amazon.co.jp/」、偽サイトは「http://amazon-co-jp.pw/」。そもそもURLが違うので、気付く人はここで気付くでしょう。
また本家は鍵のアイコンついていて、偽サイトにはないのが分かります。これ、Webサーバーとブラウザ間の通信が暗号化されていることを意味していて、大概のサイトでログイン画面ではセキュリティ対策として採用されているものなんですね。
そもそもアカウント入力画面などで、こうなっていない時点で怪しさ満点ということ。このサイトに限らず言えることなので、これは覚えておきましょうね。
また本家かどうか調べるのに手っ取り早いのが、URLをGoogleで検索してみること。Amazonのページも引っかかりますが、偽サイトと伝えている記事が見つかることで判断できる場合も。
今回のような偽サイトへの誘導はAmazonを装うメールで行われることが多いと思われますが、Amazonではそのメールが本物か偽物か判別する方法をヘルプページで紹介しています。
このようなメールに多い傾向として、以下の様な内容があるとのこと。
- 注文していない商品の注文確認をする内容
- Amazon.co.jp のアカウントにご登録している個人情報を求める内容
- お支払い情報の更新を求める内容
普段からAmazonをよく利用している方はこのようなメールが届くと、ついそのまま開いてしまいそうになりますが、今回紹介した見分け方を頭に入れた上で間違ってもこのようなサイトに引っかからないよう気を付けてくださいね。
