『詐欺メール』「Amazon Pay ご請求内容のお知らせ」と、来た件

heart

2年前

Amazon Payを装う

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

件名に伴わない本文の内容

Amazon Payからこのようなメールが届きました。

件名には「ご請求内容のお知らせ」と書かれているのに本文はそれとは全く異なり
不審な支払いが検出されたと書いてあります。
ならば件名にもそのように書くはずなのになぜ単に「ご請求内容のお知らせ」としか書かれて
いないのでしょうか？
ものすごく矛盾を感じますよね？

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] Amazon Pay ご請求内容のお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「amazon <info@amazon.co.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

”amazon.co.jp”は確かに「Amazon」のドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。

本当のメールアドレスはすぐにバレた

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「iakrjq@apvjkhe.cn」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
あれま？突然の中国ドメイン…
”amazon.co.jp”じゃなかったんですか？(笑)

Message-ID:「202301292227305540707@apvjkhe.cn」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from apvjkhe.cn (unknown [103.72.147.162])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

もうこの時点でアドレス偽装は明白！

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、”Return-Path”にあったドメイン”apvjkhe.cn”について調べてみます。

持ち主は、私には読めない文字を含む漢字3文字を氏名の方。
そして”103.72.147.162”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じなのでこの差出人のメールアドレスは”iakrjq@apvjkhe.cn”で
ほぼ確定でしょう。
この方にはしっかり罪を償っていただかなければなりませんね！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”103.72.147.162”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、香港の中心街付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

「Apple Store」で不正購入？

では引き続き本文。

Аmazon お客様

日頃は、Amazon をご利用いただきまして誠にありがとうございます。
お客様のアカウントは強制停止されています – アカウントで不審なお支払いが検出されました。
取引注文を防ぐために、個人情報を確認する必要があります。
Аmazon ログイン
なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。
概要
処理日
2023/1/29 16:11:30 JST
ご請求金額
￥ 168,682 (税別)
お支払い方法
クレジットカード
Amazon Pay注文番号
P64-9047815-0444209
販売事業者お問い合わせ先
Apple Store
info@apple.com
販売事業者ご注文番号
8-25492454

どうやら不正な購入は「Apple Store」で行われたようです。
もちろん嘘ですけどね！(笑)

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「Аmazon ログイン」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価はこちらです。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”amacian-co.jp.qcleiuh.cn”
このドメインにまつわる情報を取得してみます。

申請登録者は、先のメールアドレス調査で出てきた方と同じ人物。

そしてこのドメインを割当てているIPアドレスは”23.147.226.44”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。

ピンが立てられのは、アメリカジョージア州アトランタ。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの「サイトセーフティーセンター」での危険度評から、どこからもブロック
されることなく無防備に放置されているであろう詐欺サイトへ安全な方法で訪れてみました。

想像通り開いたのは、もう何度も見て見飽きたAmazonへのログイン画面。
誰もログインしないと思いますが、詐欺サイトなので絶対にログインしないでください。

まとめ

今の時代Amazonを騙る詐欺メールの存在は、サルでも知っているのではないかと思う程
大量に流れています。
なので、このようなメールに騙される人はいないことでしょうね。
ま、永遠に送り続けていてください。(笑)

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)