『詐欺メール』「【重要なお知らせ】支払い方法を更新してください」と、来た件

★フィッシング詐欺解体新書★

うさん臭い日本語使い

「Amazon お客様」から始まるこのメール。

初っ端の「Amazon お客様」って部分から違和感ありあり。
だって、皆さんご承知かと思いますが、Amazonからの個人宛てメールの宛名は氏名です。
それなのにこの抽象的な宛名は、差出人がこちらの名前を知らないから。
そりゃそうです、だってこのメールの差出人は、どこかから仕入れたメールのリスト宛に無作為に
このメールを送っているから。

そして、うさん臭い日本語ですね…「に ​お客様のアカウントを維持するため」の「に」ってなんなの？

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【重要なお知らせ】支払い方法を更新してください」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon” <no-reply@amazon.co.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

上手く化けたつもりしょうか？…
”amazon.co.jp”は確かに「Amazon」さんのドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。

偽装はすぐにバレる

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

”Return-Path”で偽装は明らかですが、メールアドレスにあった正規Amazonのドメイン”amazon.co.jp”に
ついて調べてみます。

当然ちゃんと「Amazon」さんの持ち物です。
そして”52.119.164.121”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”180.215.203.224”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”180.215.203.224”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、香港の「Sheung Wan」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

違和感のあるフォントは”GB2312”と言う中華フォント

では引き続き本文。

なんか違和感のあるフォントですよね？
ヘッダーでどのようなフォントが使われているか調べてみると。

このフォントは”GB2312”と呼ばれる中華人民共和国の国家規格として定められた
簡体字中国語フォント。
それで違和感が有るわけですね！

どうりで違和感が有るわけですが、ということは、もしかして差出したのは中国の方？

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「支払い情報を更新する」って書かれたボタンに張られていて、リンク先の
URLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

えっ、まさかの安全宣言？
これは見逃すことは到底できません。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”static-aolannmamloo1.lol”
”.lol”なんてドメイン初めて見たかも。
調べてみるとこのドメインは、2015年に新たに誕生した「大笑いをする（laugh out loud）」を表す
ドメインだそうです。
うちのサイトのように笑えないブログでは使えそうにありませんね…(;^_^A

この”static-aolannmamloo1.lol”ってドメインにまつわる情報を取得してみましたが
”.lol”は情報の開示をしていないのか申請者の情報は取得できませんでした。
でも割当てているIPアドレスは取得できるだろうと検索してみると。

このドメインを割当てているIPアドレスは”204.44.99.80”と出ました。
試しにこのIPアドレスを逆引きしてみると。

このIPアドレスには”static.quadranet.com”なんてドメインも割り当てているようです。
きっと何か意味があって使い分けているのでしょう。

このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

「サイトセーフティーセンター」では安全とされていましたが、リンク先は明らかに危険。
リンク先は、間違いなくAmazonのログインページが表示されると分かっていますが
そのサイトへ用心深く安全な方法で訪れてみました。

やっぱり開いたのはこのページ。
もちろん偽サイトですから絶対にログインしないでください！

まとめ

まずは、宛名が氏名ではなく「Amazon お客様」であることに気付いてください。
そして、違和感のあるフォントと違和感のある日本語。
これらに気付けないと、メールアドレスが偽装されているので騙されてしまう可能性が有りますよ！

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;