サイトアイコン HEARTLAND

『詐欺メール』『Amazon Prime アカウント情報の更新が必要です』と、来た件

 


★フィッシング詐欺解体新書★


スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

またしても深夜に始まる同じ件名の大量メール

いつもご覧くださりありがとうございます!

最近夜半から同じ件名のメールが大量に送られてくる事象が増えていて、今朝もメールボックスにはこのように『Amazon Prime アカウント情報の更新が必要です』という件名のメールが実に260通1.57MB届いていました。

よく見ると、最初の1通目は皆さんが寝静まった午前0時過ぎに送信され始め、今朝7時以降もまだ届き続けている状況の中このブログエントリーを書いています。

そのメールの内容がこちらです。

件名:[spam] Amazon Prime アカウント情報の更新が必要です
送信者:”自動メール送信” <admin@propertyagent.co.jp>【重要】Amazon Prime アカウント情報の更新について
いつもAmazon Primeをご利用いただき、誠にありがとうございます。
現在、お客様のアカウント情報の一部に更新が必要となっております。
この更新を行わない場合、一部のPrime特典(例: お急ぎ便、Prime Video、会員限定セールなど)にアクセスできなくなる可能性があります。更新のお願い:
以下のボタンをクリックして、アカウント情報を更新してください。

アカウント情報を更新する

ご不明な点がございましたら、ヘルプセンターをご利用ください。
このメールは support@amazon.co.jp より送信されています。

なんだかちょっと日本語に不慣れの方が作ったような感じのメールですね。
もちろんこのメールは、悪意を持ったフィッシング詐欺メールです。
折しも昨日からAmazon年末恒例の2024年のブラックフライデーセールが行われており、このようなメールに惑わされ慌ててリンクをクリックする方もいらっしゃるかも知れませんので早速解析していこうと思います。

まず最初に気づくのは、送信者のメールアドレスに対して末尾に書かれている『このメールは support@amazon.co.jp より送信されています』と言うくだり。
これ送信者のメールアドレスと全く異なりますが、どういう事でしょうか?

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”propertyagent.co.jp
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
もうAmazonのドメインは皆さんおなじみですよね。
そう『amazon.co.jp』がAmazonの公式ドメインです、故にこれ以外のドメインを使ったメールアドレスでAmazon名義を使ったメールは全て偽物。
この260通余りのすべてのメールの差出人のメールアドレスはどれも同じ送信者でした。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from uoxv9radj.top (unknown [14.103.173.175])

あらら?ここには送信者のメールアドレスとは異なる”uoxv9radj.top”なんてドメインが書かれていますね。
これは何を意味するのでしょうか?

まず”propertyagent.co.jp”を割当てているIPアドレスと比較してみましょう。
こちらが『Grupo』さんで取得した”propertyagent.co.jp”を割当てているIPアドレスとその持ち主の情報です。

Receivedフィールドの数字と全然違いますよね、この結果からこの送信者が使ったとされる”propertyagent.co.jp”を使ったメールアドレスは偽装であることが断定できます。
因みにこのドメインの持ち主はここのあるように、東京都西新宿にある不動産業者の『プロパティエージェント株式会社』さんです。
もちろん、この詐欺メールには縁もゆかりの無い企業で、ある意味この企業も被害者です。

ではこのReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、北京市にある『天安門広場』付近であることが分かりました。


ブロックされるもののリンクはまだ生きています

さて、本文の『アカウント情報を更新する』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://wanshwojiusnide8592.top/oeughge/
(直リンク防止のため一部の文字を変更してあります)

これまた『Amazon』のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、香港の『九龍地区』付近であることが分かりました。

リンクを辿ってみると、何度かウイルスバスターにブロックされたものの行きついたのはこのようなページです。

もう何度も見てきたAmazonのログインページのそっくりさんです。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。


まとめ

狙ったのかどうか知りませんが、ブラックフライデーのタイミングってのが憎らしいです。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

モバイルバージョンを終了