サイトアイコン HEARTLAND

『詐欺メール』Amazonから『情報更新のお願い – ご確認ください』と、来た件

 


★フィッシング詐欺解体新書★


スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

5年過ぎても相変わらず

いつもご覧くださりありがとうございます!

うちのサイトで初めてAmazonを騙る詐欺メールを取り上げたのがもう2019年3月。
その時のエントリーが『拡散希望!』Amazonを騙る詐欺メールが届いた件です。
これから既に5年以上経った今日も、その頃とは何も変わらずこのようなメールが届き続けているのが現状となっています。

件名:[spam] 情報更新のお願い – ご確認ください
送信者:”Amazon” <admin-user@mizuho-foods.co.jp>カード情報の更新が必要ですお客様のカード情報が期限切れとなっています。今後のご利用に支障が出る可能性がありますので、早急に更新をお願い致します。

重要:24時間以内にカード情報を更新しない場合、アカウントが制限される可能性があります。

以下のリンクからカード情報を更新できます。更新後、すぐにご利用いただけます。

カード情報を更新する

お手数ですが、お早めに更新手続きをお願いいたします。

このメールはAmazon.co.jpよりお送りしています。

会社情報:
アマゾンジャパン合同会社
〒153-0044 東京都目黒区下目黒1丁目8番1号

このメールに記載されているリンクが不正であると感じた場合は、カスタマーサービスに速やかにご連絡ください。

あの頃に比較すれば、AmazonなどのECサイトを騙る詐欺メールは認知されることも多くなり被害に遭われる方の比率はずいぶん減ったと思いますが、逆にECサイトを利用する人数は年々増えていることを考えると全体の被害者数はあまり変わっていないのが現実のようです。

さて、前置きはこのくらいにして、今回のこのメールも解体して調べてみることにします。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”mizuho-foods.co.jp
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにこの”mizuho-foods.co.jp”と言うドメインは、埼玉県越谷市にある食材総合商社『(株)ヨシムラ・フード』が所持しているもの。
Amazonからのメールは、みなさんご存知の通り使われているドメインは”amazon.co.jp”。
もちろんこのような食材総合商社さんがAmazonのメールを代筆するはずもないので、このメールアドレスは偽装されている可能性が大きいと考えられます。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from ybefu0lg7.top (unknown [115.190.28.16])

おやおや?
ここにはまた別の”ybefu0lg7.top”なんて怪しげなドメインが書かれていますね。

ではこの”ybefu0lg7.top”を割当てているIPアドレスと上記のIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”ybefu0lg7.top”を割当てているIPアドレスです。

Receivedフィールドに記載のIPアドレスと完全に合致していますよね?
ということはこのメールの送信者のメールドメインは”mizuho-foods.co.jp”ではなく”ybefu0lg7.top”であることが確定できました。

IP調査兵団』さんでこのReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、北京市にある『天安門広場』の東側付近であることが分かりました。


相変わらずボタン名が違ってる詐欺サイト

さて、本文の『カード情報を更新する』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://seversid-ameazon-dow.hljtcc.cn/apsigninopenid/
(直リンク防止のため一部の文字を変更してあります)
これまた『Amazon』のドメインとは異なるものが利用されていますね。
それに末尾が”.cn”ですから中国のものです。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、定番の『東京都杉並区和泉2丁目』付近であることが分かりました。

リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが解除して先に進むと見慣れたこのようなページが開きました。

一番下のボタンが『次に進む』とありますが、本物は『Amazonアカウントを作成する』です。

当然、ログインしてしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。


まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

モバイルバージョンを終了