差出人の項目にメールアドレスが無い今朝もメールボックスには、Amazonに成りすましたフィッシング詐欺メールがどっさり(汗) そんな数あるAmazonを騙るメールの中から、今回はこのメールをチョイスしてみました。  「誰かがあなたのAmazonアカウントで他のデバイスから購入しようとしました。」とありますが 「誰かが」って最初から疑ってかかっているし、「他のデバイスから」って、機種変とかしてる かもしれないじゃないので余計なお世話です。 では、このメールもプロパティーから見ていきましょう。 件名は 「[spam] Amazonアカウントが異常な状態になっています」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Amazon” <Amazon>」 普通は<>内にはメールアドレスが書かれているはずですが、このメールの場合は何らかの理由で メールアドレスではなく”Amazon”と記入されています。
”.xyz”ドメインは、サイバー犯罪に多く使われているでは、このメールがフィッシング詐欺メールであることを立証していきましょうか! まず、このメールのヘッダーソースを確認し調査してみます。 私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「server@jinang.xyz」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 何らなの理由で非公開にされていたこの差出人のメールアドレスはこれのようです。 ここで使われている”.xyz”ってドメインは、サイバー犯罪に多く使われているものですので 要注意です! | Message-ID:「6F54BD7495417B55F8B0BC1F5200BF7D@dejbk」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from jinang.xyz (jinang.xyz [209.141.46.23])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずは、”jinang.xyz”について情報を取得してみます。  申請は上海市から行われていました。 それ以外の情報はことごとくプライバシー保護でマスクされています。 この中で一番重要なのは”Received” これを紐解けば差出人の素性が見えてきます。 ”Received”のIPアドレス”209.141.46.23”は、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその割り当て地を確認してみます。 IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 
ピンが立てられたのは、ラスベガスの「マッカラン空港」付近です。 よく見ると、このIPアドレスの持つ脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」 攻撃対象は「メール」とされていますから、悪意のある物として周知されているようです。
赤道ギニアのドメインを使った詐欺サイトでは引き続き本文。 あなたのアカウントは停止されました 新しいデバイスからアカウントサービスへのサインインが検出されました。 誰かがあなたのAmazonアカウントで他のデバイスから購入しようとしました。 Amazonの保護におけるセキュリティと整合性の問題により、 セキュリティ上の理由からアカウントがロックされます。 アカウントを引き続き使用するには、24時間前に情報を更新することをお勧めします。 それ以外の場合、あなたのアカウントは永久ロック。 |
まあよくある第三者不正利用の連絡ですが、先にも書いた通りその理由が無理やりのこじつけ。(;^_^A そして、詐欺サイトへのリンクボタンに書かれているのは「認用アカウント」(笑) 「確」を書き忘れたのか、それともそちらの国ではこう書くのでしょうか?…(笑) そのボタンに付けられたリンク先のURLはこちら。  でも、これは釣りで、リンクに繋ごうとするとこんな表示が。  結局この後接続されるリンク先のURLがこちら。  このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。  おっと、まだ「未評価」のようです。 このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。 評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”amazoncojpcsxmlh.gq” ”.gq”は、赤道ギニアに割り当てられているトップレベルドメイン。 このドメインにまつわる情報を取得してみます。  申請オランダのアムステルダムから。 このドメインを割当てているIPアドレスは”34.92.169.146” このIPアドレスを元にその割り当て地を確認してみます。 
ピンが立てられのは、香港の「Central and Western」付近。 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。 安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 開いたのは当然アマゾンのログインページ。 ボット確認(文字列入力)も付けられていますね。 もちろん偽のページなので絶対にログインしないでください! 
まとめほんとAmazonを騙ったフィッシング詐欺メールは嫌と言うほど届きます。 Amazonからのメールは、「アカウントサービス」の「メッセージセンター」にも同じものが 保存されていますので、不審に思ったら必ずここをご確認ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |