amazon 「商品アンケートの参加者に選ばれました」QRコードからレビュー投稿で1,000円のギフト券-詐欺なのか検証してみた
amazonでレーザープリンターのトナーを購入した際、商品の箱(amazonの箱の中ではなく商品自体の箱)の中に「QRコード」が印刷された1枚のカードが入っていました。
入っていたQRコード付きのカード
カードに記載の内容
1000円のギフト券をプレゼント
カードに記載の内容
おめでとうございます!商品アンケートの参加者に選ばれました!参加手順
1.QRコードをスキャンしてアンケートにお答えください。そして、完了した画面をスクリーンショットしてください。
[QRコード]
2.専用窓口へお知らせください:jp@freegift10.com
(タイトル:商品型番+注文番号
またはスクリーンショットを添付してください。)
注意事項:お客様のアカウントセキュリティのために、このカードの写真をレビューに添付しないでください。アマゾンは、お客様が製品写真の添付のみを許可します。
購入したのは「ブラザー対応 Brother TN-291 黒1本 互換トナーカートリッジ 対応機種 HL-3170CDW HL-3140CW DCP-9020CDW MFC-9340CDW」です。
QRコードでアカウント乗っ取りの被害?
ネットで調べてみると、同様の事例があり、2019年9月ごろから始まり「アクセスするとアカウントが乗っ取られる」などの憶測が飛び交っていたようです。
また、実際にギフト券がもらえたとの報告もあるようです。
QRコードの情報は?
QRコードを読み取って内容を確認してみました。
QRコードの内容は「https://www.amazon.co.jp/review/create-review/edit?asin=B088R5H67J:5」のURLのみでした、実際にアクセスすると購入した商品のレビューページに遷移します。
実際のレビューページは?
amazonの購入履歴からレビューのページへアクセスするためのボタンがありますが、そこから遷移した場合のURLを確認してみます。
「商品レビューを書く」をクリックしレビューページへ遷移しました。レビューページのURLは「https://www.amazon.co.jp/review/review-your-purchases/edit?_encoding=UTF8&asin=B088R5H67J&channel=YAcc-wr」
それぞれのURL・パラメーターを確認
URLは上段がQRコード、下段が購入履歴からとなります。
https://www.amazon.co.jp/review/create-review/edit?
https://www.amazon.co.jp/review/review-your-purchases/edit?
/review/移行が少し異なります。
パラメーター無しでアクセスすると「購入した商品をレビュー」の一覧ページへ遷移するのでどちらも問題のないURLのようです。
QRコードからのURLパラメーター
asin=B088R5H67J:5
購入履歴からのURLパラメーター
_encoding=UTF8&asin=B088R5H67J&channel=YAcc-wr
比較
asin=B088R5H67J部分「製品個別番号」はどちらも同じですが、QRコードのパラメーターには「:5」が余分についています。仮に「:555555」や「:32r2rv」でも問題なくページは表示されますが「:」を外すと存在しない製品コードになり「ページが見つからない」アラートが出ました。
システム的には「:」以降は無視しているようです。
購入履歴からのURLには、asin以外に「_encoding」「channel」があります。
「_encoding」は文字コードの指定、「channel」はJavaScriptの記述内にある”urlChannelId”の値として利用されていました。QRコードからのものはこのパラメーターがないので「”urlChannelId”: null,」となっていました。
いかがJavaScriptの内容です。「urlChannelId」以外は同じ内容でした。
1 2 3 4 5 6 7 8 9 10 11 12 | window.P.csmProperties = { "asin": "B088R5H67J", "customSpSessionId": "セッションIDが記述", "customerId": "A***********I", "locale": "ja_JP", "refmarker": null, "pageType": "CustomerReviewsRypHz", "subPageType": "RypSinglePage", "urlChannelId": null, "userAgentId": "ユーザーエージェントが記述", "marketplaceId": "A**********8" }; |
1 2 3 4 5 6 7 8 9 10 11 12 | window.P.csmProperties = { "asin": "B088R5H67J", "customSpSessionId": "セッションIDが記述", "customerId": "A***********I", "locale": "ja_JP", "refmarker": null, "pageType": "CustomerReviewsRypHz", "subPageType": "RypSinglePage", "urlChannelId": "YAcc-wr", "userAgentId": "ユーザーエージェントが記述", "marketplaceId": "A**********8" }; |
QRコードからアカウトを乗っ取れるのか?
結論、QRコードに記載されているURLからの乗っ取りは無理だと思います。
QRコードに記載のURLがamazonではなく別のURLであれば、フィッシングすることも可能かもしれませんが、URLは正常なのでこの可能性はありません。
その他インラインフレームからの情報取得やリダイレクトを利用した情報取得、セッションハイジャックなどもQRコードに記載のURLからは不可能だと思います。
できるとすれば、amazonのレビュー投稿部分「create-review/edit」に脆弱性があり、「:5」やその他のパラメーターを付与しないことにより脆弱性を利用することができる以外ないと思います。
※「create-review/edit」も「/review-your-purchases/edit」もソースは同じなので表示しているファイル自体は同じファイルだと思います。
レビュー後にメール送信する宛先は?
レビューのスクリーンショットを送信するための宛先として記載されている「2.専用窓口へお知らせください:jp@freegift10.com」のメールアドレスを調べてみました。
ドメインを確認
「freegift10.com」のwhois情報を確認してみました。
レジストラに「http://www.net.cn」(アクセスすると「https://wanwang.aliyun.com」へリダイレクト)の記述、登録者に「Alibaba Cloud Computing (Beijing) Co., Ltd.」、ネームサーバーが「DNS19.HICHINA.COM」「DNS20.HICHINA.COM」と記載があるので、中国で取得されたドメインでほぼ間違い無いと思います。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 | % whois freegift10.com % IANA WHOIS server % for more information on IANA, visit http://www.iana.org % This query returned 1 object refer: whois.verisign-grs.com domain: COM organisation: VeriSign Global Registry Services address: 12061 Bluemont Way address: Reston Virginia 20190 address: United States contact: administrative name: Registry Customer Service organisation: VeriSign Global Registry Services address: 12061 Bluemont Way address: Reston Virginia 20190 address: United States phone: +1 703 925-6999 fax-no: +1 703 948 3978 e-mail: info@verisign-grs.com contact: technical name: Registry Customer Service organisation: VeriSign Global Registry Services address: 12061 Bluemont Way address: Reston Virginia 20190 address: United States phone: +1 703 925-6999 fax-no: +1 703 948 3978 e-mail: info@verisign-grs.com nserver: A.GTLD-SERVERS.NET 192.5.6.30 2001:503:a83e:0:0:0:2:30 nserver: B.GTLD-SERVERS.NET 192.33.14.30 2001:503:231d:0:0:0:2:30 nserver: C.GTLD-SERVERS.NET 192.26.92.30 2001:503:83eb:0:0:0:0:30 nserver: D.GTLD-SERVERS.NET 192.31.80.30 2001:500:856e:0:0:0:0:30 nserver: E.GTLD-SERVERS.NET 192.12.94.30 2001:502:1ca1:0:0:0:0:30 nserver: F.GTLD-SERVERS.NET 192.35.51.30 2001:503:d414:0:0:0:0:30 nserver: G.GTLD-SERVERS.NET 192.42.93.30 2001:503:eea3:0:0:0:0:30 nserver: H.GTLD-SERVERS.NET 192.54.112.30 2001:502:8cc:0:0:0:0:30 nserver: I.GTLD-SERVERS.NET 192.43.172.30 2001:503:39c1:0:0:0:0:30 nserver: J.GTLD-SERVERS.NET 192.48.79.30 2001:502:7094:0:0:0:0:30 nserver: K.GTLD-SERVERS.NET 192.52.178.30 2001:503:d2d:0:0:0:0:30 nserver: L.GTLD-SERVERS.NET 192.41.162.30 2001:500:d937:0:0:0:0:30 nserver: M.GTLD-SERVERS.NET 192.55.83.30 2001:501:b1f9:0:0:0:0:30 ds-rdata: 30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CFC41A5766 whois: whois.verisign-grs.com status: ACTIVE remarks: Registration information: http://www.verisigninc.com created: 1985-01-01 changed: 2017-10-05 source: IANA # whois.verisign-grs.com Domain Name: FREEGIFT10.COM Registry Domain ID: 2500779472_DOMAIN_COM-VRSN Registrar WHOIS Server: grs-whois.hichina.com Registrar URL: http://www.net.cn Updated Date: 2020-03-07T09:06:09Z Creation Date: 2020-03-07T09:00:55Z Registry Expiry Date: 2021-03-07T09:00:55Z Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd. Registrar IANA ID: 420 Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com Registrar Abuse Contact Phone: +86.95187 Domain Status: ok https://icann.org/epp#ok Name Server: DNS19.HICHINA.COM Name Server: DNS20.HICHINA.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of whois database: 2020-10-05T12:55:54Z <<< # grs-whois.hichina.com Domain Name: freegift10.com Registry Domain ID: 2500779472_DOMAIN_COM-VRSN Registrar WHOIS Server: grs-whois.hichina.com Registrar URL: http://whois.aliyun.com Updated Date: 2020-03-07T09:01:10Z Creation Date: 2020-03-07T09:00:55Z Registrar Registration Expiration Date: 2021-03-07T09:00:55Z Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd. Registrar IANA ID: 420 Reseller: Domain Status: serverHold https://icann.org/epp#serverHold Registrant City: Registrant State/Province: guang dong Registrant Country: CN Registrant Email:https://whois.aliyun.com/whois/whoisForm Registry Registrant ID: Not Available From Registry Name Server: DNS19.HICHINA.COM Name Server: DNS20.HICHINA.COM DNSSEC: unsigned Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com Registrar Abuse Contact Phone: +86.95187 URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>>Last update of WHOIS database: 2020-10-05T12:56:02Z <<< |
試しに応募してみました。
いろいろ確認しましたが、特に問題なさそうなので、応募してみました。
「本当に1,000円のギフトコードがもらえるのか?」が気になったので検証です。
添付で送った内容は、「レビューの完了画面」と「注文内容(注文番号と商品名がわかる部分のみ)」です。
指定のメールアドレス「jp@freegift10.com」に上記の内容を添付して送信しました。
釣られてみて
本日、10/5に送信したので結果はわかりませんが、その後進展があればまた記事にしたいと思います。
翌日に結果がわかりました。詳細は下記の記事をご覧ください。
S.E->お勧め記事;
- amazon 問い合わせの電話を指定の電話番号にかけてもらう
- amazon 「商品アンケートの参加者に選ばれました」QRコードからレビュー投稿で1,000円のギフト券-検証結果
- amazon 返品手順が簡略化されていた 返品の手順を紹介
- PD充電器 100W USB-C×3ポートでHomePod miniを試す
- amazonでPlayStation 5 が定価で購入できる!?
- 楽天モバイル 0円運用ができなくなる!「Rakuten UN-LIMIT VII」への自動移行するので解約した
- 10/2はコミック新刊が続々発売される〜約束のネバーランド・鬼滅の刃など Kindle電子書籍 購入・キャンセル方法
- 楽天モバイル 0円で運用できるか試してみた
- amazonで購入したSSDの5年保証を受ける方法
純正は高いけれど、このインクだと気にせず使えます。
わたしもカートリッジが届き、この紙が入っていました。
このサイトのコメントのおかげで、安心して、送信しました。
1,000円分のギフトが戻るのが楽しみです。
ありがとうございました。
参考になってよかったです。
ギフト券楽しみですよね。