『詐欺メール』「【重要】Amazonのご利用確認のお願い。」と、来た件

★フィッシング詐欺解体新書★

Amazonを騙っておきながらメールが中国の国別ドメイン

次から次へとよくもまあこれだけ作れるものですね。
今度はAmazonに成りすましながら、何故だかニコスWebサービスの第三者不正利用の報告をする
メールが届きました。

なんだかこのメール日本語も無茶苦茶ですね…(;^_^A

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【重要】Amazonのご利用確認のお願い。メール番号:85600732」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
メール番号を付けて信憑性を高めようがこの件名には”[spam]”とスタンプが付けられているので
迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon.co.jp” <support@service.jfbpdq.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

Amazonを騙っておきながら”service.jfbpdq.cn”なんて中国の国別ドメインって…
Amazonさんは”amazon.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて絶対にあり得ません。

香港の山中が発信元サーバーか？

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

では、メールアドレスにあったドメイン”service.jfbpdq.cn”について調べてみます。

”194.156.98.81”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですからこの方はアドレス偽装をすることなく自身のメールアドレスで
このメールを送ってきています。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”194.156.98.81”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、香港の山中です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

どこにドメイン運用のに関わる通知があるの？

では引き続き本文。

冒頭に「本メールはドメインの運用（メール送受信やホームページの表示）に関わる重要な通知となります」
とありますが、本文は「ニコスwebサービス」の第三者不正利用に関する内容で
どこにもドメインに関する言及はありません。
それにAmazonを名乗っているのになぜ「ニコスwebサービス」が出てきたのでしょうね？
どうせ日本語の分からない人物が、あちらこちらで利用した複数の詐欺メールの中身を虫食いで
コピペしたからこうなったんでしょうね。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「登録」って書かれたところと「ログイン　>」と書かれた黄色いボタンに
張られていて、リンク先のURLがこちらです。

これまたAmazonの欠片も無いURLです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

えっ、ウソでしょ？　まさかの安全宣言って…
これは見逃すことは到底できません。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”sehaj.dvfoeag.cn”
このドメインにまつわる情報を取得してみます。

申請者は、私には読めない文字を含む漢字三文字の氏名の方で、詐欺メールの調査では時々見かける
お名前です。

このドメインを割当てているIPアドレスは”198.98.57.121”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、ニューヨーク市に属する「スタテン島」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの「サイトセーフティーセンター」では安全とされていましたので
どこからもブロックされることなく無防備に放置されているであろうリンク先サイトへ
安全な方法で訪れてみました。

おお、Googleでは既に危険なサイトとして登録されているようで、Chromeが接続をブロックしてきました。

構わず先に進んでみます。
すると、想像通りAmazonのログインページが表示されました。
もちろん偽サイトですから絶対にログインしないでください。

もし誤ってログインしてしまった場合は、大至急「カスタマーサポート」に連絡するようにしてください。

まとめ

まさかニコスカードの第三者不正利用をAmazonが報告するなんて…
余りにも滑稽で読んでて笑えてしまいました。

でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;