『詐欺メール』「平素は Amazonをご利用いただき、誠にありがとうございます」と、来た件

メールアドレス”amazon”三連発！

相変わらずAmazonを騙ったフィッシング詐欺メールが多いようで…
また、このような新種が。

書かれているのは、私のアカウントで異常なアクセスがあったそうで、アカウントが一時保留
されたとのこと。
保留を解除するためにリンクから指示に従えと。
まぁ、簡単に言えば第三者不正利用の疑いと言うこと。

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 平素は Amazonをご利用いただき、誠にありがとうございます」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
ですから、すべてを鵜呑みにしては大変危険です。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「amazon <amazon@amazon.co.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

”amazon”三連発です(笑)
余り連発されると余計に疑っちゃいますよ！

上手く化けているつもりでしょうけど…
”amazon.co.jp”は確かに「Amazon」のドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール、故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。

「ご希望のドメインが空いています！」って…(笑)

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、”yvwksv.com”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか？

「対応するIPアドレスがありません」と出ました。
対応するIPアドレスが無いということは、使うことができないドメインです。
もしやと「お名前ドットコム」さんでこのドメイン”yvwksv.com”の空き状況を調べてみました。

「ご希望のドメインが空いています！」と書かれており、現在このドメインは取得可能状態です。
ご承知の通り、空きドメインを使ったメールアドレスではメールを受送信できませんので
このメールはこの時点を持って偽装確定です！！

この中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”156.94.221.178”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその情報を確認してみます。

おお、どうやらこのIPアドレスには”walmart.com”なんてドメインが割当てられているようです。
申請は、アメリカアーカンソー州ベントンビルと言う街から行われたようです。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、ドメイン申請者と同じアメリカアーカンソー州ベントンビル付近です。

このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

”amazon”じゃなくて”annazoon”だって

では引き続き本文。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「支払方法を更新する」って書かれた黄色いボタンのところに張られていて、
リンク先のURLがこちらです。

”amazon”じゃなくて”annazoon”だって…(笑)

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”www.annazoon.cn”
このドメインにまつわる情報を取得してみます。

申請者は、私には読めない文字を含む漢字3文字の氏名の方で、申請は中国浙江省にあるレジストラ
「浙江贰贰网络有限公司に依頼されています。」

このドメインを割当てているIPアドレスは”8.209.231.187”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは「東京都新宿区」付近。
利用されたプロバイダーは、「Alibaba (US) Technology Co., Ltd.」とあるので中国のアリババ。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

まあ大方の予想通り開いたのは、見慣れたアマゾンのログインページ。
もちろん偽サイトですから絶対にログインしないでください！

まとめ

マジでAmazonを騙るフィッシング詐欺メールは多くて後を絶ちません。
祖音ほとんどが第三者不正利用や、支払い方法でエラーが出て会費が支払えなかったというもの。
いつも書きますが、Amazonからのメールは、カスタマーサービスのメッセージセンターに
同じものが必ず保存されていますので、少しでも違和感のあるメールが届いたらそちらをご確認ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;