サイトアイコン HEARTLAND

『詐欺メール』アマゾンから「お支払い方法変更についてのご案内」と、来た件

heart

インド洋に浮かぶ島国からの詐欺
!ご注意!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。
このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください!
リンクは当該サイトを装った偽サイトへ誘導で、最悪の場合、詐欺被害に遭う可能性があります。
ですから絶対にクリックしないでください!
どうしても気になると言う方は、ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするように心掛けてください!

今週は「NTT-X Store」のなりすましが急増

今週に入って急に「NTT-X Store」を騙るなりすまし詐欺メールの横行が目立つていますが
皆さなの所はいかがでしょうか?

今朝の迷子メールチェックだけでも2通も来ています。
もっとも、アマゾンの「お支払い方法の情報を更新」に関しては別格ですが(笑)

さて、今回ご紹介したいのは「お支払い方法変更についてのご案内」ってタイトルでアマゾンを
騙るなりすましフィッシングメールです。

文章に違和感が多々

こちらがその本文。

宛先は、うちの事務所を随分前に退社されたスタッフ宛で、現在このアカウントは閉鎖中。
なので迷子メールとなってサーバーに残されていたものです。

このメールの本文、よく見るとお無しな所が点在。
まず、使われているフォントが日本ではあまり使われない中華フォントの”Yahei”
糸偏と”今”ってところに特徴がありますよね?
このようなフォントを使ったメールをアメリカの巨大企業であるアマゾンが送るなんて
考えられません!

次に句読点。

弊社のモニタリングにより。普段と違う不審なログインが見つかり。誰かがお客様のいつも
お使いになった支払方法を変更しようとしていたそうです

”、”であるはずのところが”。”になってたりしていますし、文末に無ければならない”。”が
無かったりします。

そして、このような重要な連絡にもかかわらず
「誰かがお客様のいつもお使いになった支払方法を変更しようとしていたそうです」
”していたそうです”なんて他人事のような言い方…┐(´д`)┌

いくら危険を表すような情報を並べてもこのような表現じゃ誰も騙されません。(笑)

メールには誰かが勝手にこちらのアカウントを使いなりすましてアマゾンにログインしたと
書いてあり、その証拠にとして、日時、接続IPアドレス、OS、接続場所などがそれらしく
記載されています。
もちろん、全部ウソですが(笑)
因みにこにこ書かれている”42.147.46.108”ってIPアドレスの所在は今現在こんな所です。


どこが”兵庫県神戸市北区有野台”だよ!!(笑)

”.icu”ドメインは使い捨ての格安ドメイン

では、いつものように犯人捜しをしてみます。
まずメールのプロパティーとヘッダー情報を確認してみましょう♪

件名「[spam] お支払い方法変更についてのご案内」
言うまでも無く[spam]はうちの受信サーバーが悪意のあるメールとして付加したスタンプで
この時点で迷惑メール判定されています。

差出人は「”Amazon.co.jp” <apikey@updatecardamazonin.icu>」
”Amazon”と名乗っておきながらAmazonらしからぬ”updatecardamazonin.icu”なんて
ドメインが書かれています。
因みに”.icu”ってドメイン、お名前ドットコムだと初年度は99円/年で取得できちゃいます。
完全に使い捨て目的でしょうね!

このメールのエラー時返信先を示す”Return-Path”にはも”apikey@updatecardamazonin.icu”
と記載されています。
が、しかし”Message-ID”にはこんな記録が!

”yahoo2.com.cn”なんてめちゃめちゃ怪しいじゃないですか!

「Message-ID」とは、たくさんあるメールの中でその1通を特定できる識別子で以下の
3つのルールで採番するように取り決められています。
・IPアドレスを使うもの (一連番号@IPアドレス)
・ドメイン名を使うもの (一連番号@ドメイン名)
・コンピュータ名を使うもの (一連番号@コンピュータ名)

このメールの”Message-ID”はその中の2番目にある”ドメイン名”になっていますね。

と言うわけで、このドメインを調べてみます。

”.cn”は中国のトップレベルドメイン。
なので申請者は中国人のようで企業名義登録のようですが、何故かそれ以外の住所や電話番号
などの詳しい情報は記載されていませんね。
このドメインが割り当てられてるIPアドレスは”63.141.236.117”で、割り当てられてる地域は
アメリカのミズリー州カンザスシティーと出ています。

 

では次に送信元の情報を示すメールの”Received”フィールドはどうなっているでしょうか。

今度は同じアメリカでもオクラホマ州と出ていますね。
こんな所からメールを送っているんですね…(^^;

もちろんアマゾン社が”yahoo2.com.cn”なんてめちゃめちゃ怪しいドメインを使って
このような所からメールなんて出すはずがありません!!

詐欺サイトはインド洋に浮かぶ島国だった!

では次に、メール本文になる詐欺サイトへのリンク先を調べます。
リンク先のURLがこちらになっています。

また”.icu”ですか…(笑)

申請者はアリゾナ州フェニックス在住。
登録車情報はぼかしてあるけど、なんか最近よく見かける住所が書かれています。
登録日見てください、直近ですよ!
そして単年契約なので99円(笑) で、用が無くなりゃポイ~

このドメインが割り当てられてるIPアドレスが”60.119.70.66”。
で、このIPアドレスの現在の所在地が”セーシェル”
”セーシェル”は東アフリカ沖のインド洋に浮かぶ島国…
こいつ等、相変わらず世界を股にかけていますね~ ある意味素晴らしい(笑)

ふ~ん、アマゾンのサーバーがインド洋に浮かぶ島国にあるってかぁ…(;^ω^)

この詐欺サイト、まったく無防備にウィルスバスターにも監視されること無く現在も元気に
稼働していますので要注意!!


よく見りゃサイトの文字も中華フォントの”Yahei”ってところが間に抜けてて面白い♪

 

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS不随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了