メールアドレス”amazon”三連発! 相変わらずAmazonを騙ったフィッシング詐欺メールが多いようで… また、このような新種が。  書かれているのは、私のアカウントで異常なアクセスがあったそうで、アカウントが一時保留 されたとのこと。 保留を解除するためにリンクから指示に従えと。 まぁ、簡単に言えば第三者不正利用の疑いと言うこと。 では、このメールもプロパティーから見ていきましょう。 件名は 「[spam] 平素は Amazonをご利用いただき、誠にありがとうございます」 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 ですから、すべてを鵜呑みにしては大変危険です。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「amazon <amazon@amazon.co.jp>」 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 ”amazon”三連発です(笑) 余り連発されると余計に疑っちゃいますよ! 上手く化けているつもりでしょうけど… ”amazon.co.jp”は確かに「Amazon」のドメインですが、件名に”[spam]”とあるので このメールは詐欺メール、故に偽装の疑いがあります。 その辺りを含め、次の項で見ていくことにしましょう。 「ご希望のドメインが空いています!」って…(笑) では、このメールがフィッシング詐欺メールであることを立証していきましょうか! まず、このメールのヘッダーソースを確認し調査してみます。 私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「wzdpjzsm@NXY.yvwksv.com」 あれま、もう化けの皮が剥がれました。(笑) ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 本来ならドメインが”amazon.co.jp”じゃなければなりませんが”NXY.yvwksv.com”なんて 大文字と小文字が混在したAmazonには全く関連の無いドメインです。 もうこの時点で偽装の可能性大です! | Message-ID:「20220604025637621205@NXY.yvwksv.com」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from czvgl (unknown [156.94.221.178])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | まずは、”yvwksv.com”について情報を取得してみます。 このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら 差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり 処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金 さて、どう出るのでしょうか?  「対応するIPアドレスがありません」と出ました。 対応するIPアドレスが無いということは、使うことができないドメインです。 もしやと「お名前ドットコム」さんでこのドメイン”yvwksv.com”の空き状況を調べてみました。  「ご希望のドメインが空いています!」と書かれており、現在このドメインは取得可能状態です。 ご承知の通り、空きドメインを使ったメールアドレスではメールを受送信できませんので このメールはこの時点を持って偽装確定です!! この中で一番重要なのは”Received” これを紐解けば差出人の素性が見えてきます。 ”Received”のIPアドレス”156.94.221.178”は、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその情報を確認してみます。  おお、どうやらこのIPアドレスには”walmart.com”なんてドメインが割当てられているようです。 申請は、アメリカアーカンソー州ベントンビルと言う街から行われたようです。  IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、ドメイン申請者と同じアメリカアーカンソー州ベントンビル付近です。 このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。 ”amazon”じゃなくて”annazoon”だって では引き続き本文。 平素は Amazon をご利用いただき、誠にありがとうございます 支払方法を更新する Amazon利用いただきありがとうございます。 ご利用の Amazon アカウントで異常なアクセスが検出されたため、アカウントを一時保留にし、 保留中のご注文やサブスクリプションを一時停止いたしました。 アカウントへのアクセスを再開するには、サインインして画面の指示に従ってください。 必要な情報をご提供いただいたら、当サイトで調査の上、24 時間以内に返信いたします。 お客様のお支払い方法にアクセス Amazon登録したAmazonのアカウントを使用してサインイン 登録済みのお支払手段の有効期限を更新、または新しく支払い手段を追加し、 「続行」ボタンをクリック 本件についてご迷惑をおかけしましたことをお詫び申し上げます。 何卒、よろしくお願い申し上げます。 | このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。 そのリンクは「支払方法を更新する」って書かれた黄色いボタンのところに張られていて、 リンク先のURLがこちらです。  ”amazon”じゃなくて”annazoon”だって…(笑) このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。  このように既に危険サイトと認識されており、ブラックリストに登録済み。 そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”www.annazoon.cn” このドメインにまつわる情報を取得してみます。  申請者は、私には読めない文字を含む漢字3文字の氏名の方で、申請は中国浙江省にあるレジストラ 「浙江贰贰网络有限公司に依頼されています。」 このドメインを割当てているIPアドレスは”8.209.231.187” このIPアドレスを元にその割り当て地を確認してみます。  ピンが立てられのは「東京都新宿区」付近。 利用されたプロバイダーは、「Alibaba (US) Technology Co., Ltd.」とあるので中国のアリババ。 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。 安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。  まあ大方の予想通り開いたのは、見慣れたアマゾンのログインページ。 もちろん偽サイトですから絶対にログインしないでください! まとめ マジでAmazonを騙るフィッシング詐欺メールは多くて後を絶ちません。 祖音ほとんどが第三者不正利用や、支払い方法でエラーが出て会費が支払えなかったというもの。 いつも書きますが、Amazonからのメールは、カスタマーサービスのメッセージセンターに 同じものが必ず保存されていますので、少しでも違和感のあるメールが届いたらそちらをご確認ください。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |