サイトアイコン HEARTLAND

『詐欺メール』アマゾンから「アカウント情報変更のお知らせ」と、来た件

アマゾンがインド洋の島でウェブサイトを!?
!ご注意!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。
このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください!
リンクは当該サイトを装った偽サイトへ誘導で、最悪の場合、詐欺被害に遭う可能性があります。
ですから絶対にクリックしないでください!
どうしても気になると言う方は、ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするように心掛けてください!

なぜ”o”だけ全角なん?

サーバーに残された迷子メールの中に「アカウント情報変更のお知らせ」という件名の
フィッシング詐欺メールを発見。
こんな件名はたぶん紹介していないだろうと確認してみると、やはり初めての件名。
ってなわけでエントリーを書いてみることに。
でも、内容は残念ながら以前にも紹介したことのある見覚えのある内容でした。

送信先は、退社した元スタッフ宛。

弊社のモニタリングにより。普段と違う不審なログインが見つかり。
誰かがお客様のいつもお使いになった支払方法を変更しようとしていたそうです

あなたのAmazοnのアカウント:***@***.jp

ログイン日時:2020/11/16 7:51:10

IPアドレス:36.242.242.179

装備:Windows NT 10.0; WOW64

場所:兵庫県 三田市

Amazon会員個人情報を確認する必要があります。今アカウントを確認できます。

内容は、上のように知らない場所で誰かがなりすましてアマゾンにログインしたので
確認しろと。
画像を見ていただくとわかるように使われてるフォントが中華フォントの”YaHei”
何回見ても気色悪いフォントです(-_-;)

皆さん、このメールにおかしなところがあるのをお気づきでしょうか?
「弊社のモニタリングにより。普段と違う不審なログインが見つかり。」の”。”
日本人ならここに句読点は入れないか入れるなら”、”ですよね?

また、他人事のような「変更しようとしていたそうです」といい加減な言い方。

そして究極は「あなたのAmazοnのアカウント」
わかります? ”ο”だけ全角…(^^;
なにの目的があってここだけ全角なのかわかりませんが、全角が使えるPCは
国が限られてきますのでおおよそ犯人の国籍が想像できますよね? (笑)

IPアドレスが書かれていますが、もちろんでたらめ!
調べてみるとイーモバイルさんの持ち物でIPアドレスの所在地は兵庫県ではなく東京でした。

「装備:Windows NT 10.0; WOW64」 日本人がOSを”装備”なんて書かないし
それに「Windows NT 10.0; WOW64」ってわかる人少ないでしょ?
どーでもいいけど普通なら「Windows  10; 64ビット」と書くでしょう(笑)


メールのヘッダーで犯人捜し

では、ペールのプロパティーやヘッダー情報から犯人捜し。

まず、件名は「[spam] アカウント情報変更のお知らせ」
spamが示すようにうちのサーバーで悪意のあるメールと判断された証拠です。

そして差出人は「”Amazon.co.jp” <apikey@newnameanazoncardmail.icu>」
”newnameanazoncardmail”って何ですか?
こんなドメイン存在するんでしょうか?

やっぱり見当たらないようですね(笑)

では次に、メールのソースを表示させてヘッダーを見ていきます。
エラーの際の返信先である”Return-Path”にも”apikey@newnameanazoncardmail.icu”と
差出人と同じメールアドレスが記載されています。

そして、送信元のメールサーバーの情報がわかる”Received”にはこんな記載が

これによると、送信元のメールサーバーのIPアドレスは”5.8.41.19”ってことになります。
早速これを調べてみると。

このIPアドレスは現在”ルクセンブルク”にあって”jiaozong11225.example.com”ってドメインに
割り当てられているようです。
ということは、ルクセンブルクの在住者なのでしょうか?


メールの本文にある「続けるにはこちらをクリック」と書かれた部分がアマゾンの偽サイトで
フィッシング詐欺サイトへのログインページ。
そのURLがこちらです。

”newnameanazoncard”は偽のメールアドレスにも使われてたのと同じですが、ドメインが
”.icu”じゃなくて”.club”になっています。
この”nowupdate.newnameanazoncard.club”ドメインを調査すると…

どもまで本当のことが書かれてるかわかりませんが、一応マスクしておきましたが
ドメインの申請はアメリカアリゾナ州フェニックスから行われています。
そしてこのドメインは”160.119.70.108”ってIPアドレスに割り当てられてて
現在はインド洋に浮かぶセーシェルって島国にあるようですね。

アマゾンがインド洋に浮かぶ島でウェブサイトを運営を…しますかねぇ~?(笑)


フィッシング詐欺サイトは現在も稼働していますので要注意!
もし、必要であればアマゾンへはスマホアプリか保存したブックマークからログインして
利用するように心掛けてください!


 

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS不随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了