『詐欺メール』Amazonから『情報更新のお願い – ご確認ください』と、来た件

★フィッシング詐欺解体新書★

5年過ぎても相変わらず

いつもご覧くださりありがとうございます！

うちのサイトで初めてAmazonを騙る詐欺メールを取り上げたのがもう2019年3月。
その時のエントリーが『拡散希望！』Amazonを騙る詐欺メールが届いた件です。
これから既に5年以上経った今日も、その頃とは何も変わらずこのようなメールが届き続けているのが現状となっています。

あの頃に比較すれば、AmazonなどのECサイトを騙る詐欺メールは認知されることも多くなり被害に遭われる方の比率はずいぶん減ったと思いますが、逆にECサイトを利用する人数は年々増えていることを考えると全体の被害者数はあまり変わっていないのが現実のようです。

さて、前置きはこのくらいにして、今回のこのメールも解体して調べてみることにします。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”mizuho-foods.co.jp”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにこの”mizuho-foods.co.jp”と言うドメインは、埼玉県越谷市にある食材総合商社『(株)ヨシムラ・フード』が所持しているもの。
Amazonからのメールは、みなさんご存知の通り使われているドメインは”amazon.co.jp”。
もちろんこのような食材総合商社さんがAmazonのメールを代筆するはずもないので、このメールアドレスは偽装されている可能性が大きいと考えられます。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

おやおや？
ここにはまた別の”ybefu0lg7.top”なんて怪しげなドメインが書かれていますね。

ではこの”ybefu0lg7.top”を割当てているIPアドレスと上記のIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”ybefu0lg7.top”を割当てているIPアドレスです。

Receivedフィールドに記載のIPアドレスと完全に合致していますよね？
ということはこのメールの送信者のメールドメインは”mizuho-foods.co.jp”ではなく”ybefu0lg7.top”であることが確定できました。

『IP調査兵団』さんでこのReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、北京市にある『天安門広場』の東側付近であることが分かりました。

相変わらずボタン名が違ってる詐欺サイト

さて、本文の『カード情報を更新する』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://seversid-ameazon-dow.hljtcc.cn/apsigninopenid/】
(直リンク防止のため一部の文字を変更してあります)
これまた『Amazon』のドメインとは異なるものが利用されていますね。
それに末尾が”.cn”ですから中国のものです。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、定番の『東京都杉並区和泉２丁目』付近であることが分かりました。

リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが解除して先に進むと見慣れたこのようなページが開きました。

一番下のボタンが『次に進む』とありますが、本物は『Amazonアカウントを作成する』です。

当然、ログインしてしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;