『詐欺メール』「あなたのアカウントは一時的にロックされています。」と、来た件第4弾

オリンピックの閉会式のために作られた三連休。
誰の心掛けが悪いのか当地では、猛暑に台風、散々な三連休を過ごしてしまいました(汗)

そんな三連休明けの今朝、デスクのPCにはこのような悪意のあるメールが。。。

アマゾンを装い第三者の不正利用を騙って偽サイトへ誘い込みフィッシング詐欺を行おうと
するもの。

件名は
「[spam] あなたのアカウントは一時的にロックされています。」
この件名のメールは、今までにも何度かご紹介していますが、内容が異なるので別エントリー
とさせていただきました。
“[spam]”は、スパムスタンプでうちの受信したサーバーのセキュリティーが付加したもの。
これがあることで容易に悪意のあるメールだと判断できます。

差出人は
「Amazon.co.jp <amozon-update@028hdgc.com>」
毎度のことながら、このフィールドは誰でも簡単に偽装できる箇所。
ですので絶対に鵜呑みにしてはいけません！
だいたい、アマゾンからのメールで使われているドメインは”amazon.co.jp“で
決して”028hdgc.com”なんておかしなドメインではありません！
それに何ですか”amozon”って…ふざけるにも程があります！！(汗)

メールにあるヘッダーソースから詳し情報を取得してみます。

”Return-Path”は、送信先のアドレスが見当たらないなどメールが届けられない際に返信される
アドレス。
当然ここは差出人と同じアドレスになります。

そして気になるのは”Received”
ここはこのメールが通過してきた各サーバーが自身で記するサーバーのホスト情報。
複数ある”Received”の内最下段の物が差出人が利用した送信サーバーの情報です。
ここに書かれた4つの数字”180.215.119.173”は、そのサーバーのIPアドレス。

この”028hdgc.com”なんておかしなドメイン本当に使われているんでしょうか？

これで見ると、”028hdgc.com”ってドメインは、やはり”180.215.119.173”ってIPアドレスに
割当てられているのでこの差出人は自身の本当のアドレスを使ってメールを送ってきたことが
分かりますね。
ドメインの申請登録者は中国湖南省チン州市に住む方のようです。
そしてこのIPアドレスは、現在シンガポールで利用されていることも分かりますので
差出人はシンガポール経由でメールを送ったことになりますね。

リンク先が本物のアマゾンサイト？！

では、本文。

宛名は私のメールアドレスになってます。
本物のアマゾンならユーザーアカウントを使うと思うのですが…(笑)

書いてあることは、第三者の不正利用の疑いがあったのでアカウントがロックされたので
24時間以内にリンク先でロック解除を行えというもの。

”アカウントを>引き続き”などちょいちょいおかしいところがある文章です。(^-^;

気になるリンクは「情報を更新」ってところに貼られています。
そのURLがこちらです。

”amazon”じゃなくて”anazom”
そして”co.jp”じゃなくて”co.ip”

笑わせてるのか、何かの事情があってこうしてるのか…
このURLのサイトへ誘導しアカウント情報を盗み取るのが犯人の手口です。

それでは今度は”anazom.co.ip.pbrael.shop”ってドメインについて調べてみます。

図中をご覧の通り、申請は中国広東省から。
でもそれ以外のほとんどがプライバシー保護となっていますね。
そしてIPアドレスから割出された情報によるとその位置はアメリカ。

もう少し詳しい位置を調べると。。。

おおよその位置ですが、アメリカ合衆国 カリフォルニア州 ヴァントーラと出ました。
ここに設置されたサーバー内で詐欺サイトを営んでいるんですね。

繋いでみると不思議なことに本物のアマゾンのログインページが開きました。

でも、本物と言ってもログインするまでの間に何か情報を抜き取る仕掛けがあるかも
知れないのでやめておきました。(^-^;

まとめ

メールアドレスやリンクURLのスペルをあえてちょいちょい変えてる意味が
私には理解できません。
それにリンク先が本物のアマゾンなのも理解に苦しみます。
もしかしてこれは、フィッシング詐欺メールに便乗した愉快犯なのかもしれませんね。
何はともあれお盆期間中は、何かと気が緩みがちなのでご注意ください！