『詐欺メール』「Amazonギフト券が送られてきました！」と、来た件

★フィッシング詐欺解体新書★

ビックリマークのついた件名のメールでロクなメールは無い

アマゾンと名乗る差出人からビックリマークのついた件名でメールが届きました。
そのメールがこちらです。

いつも言いますが、経験上件名にビックリマークのついたメールにロクなメールはありません。
皆さんもくれぐれもお忘れなく覚えておいてください。

どうやら私に1000円分のアマゾンギフト券が送られてきたようです。(‘ω’)

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] Amazonギフト券が送られてきました！」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「 “Amazon.co.jp” <mrldcug@service.zzlysmz.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

子でもここで何度も何度も口が酸っぱくなるくらいお話ししてきましたが、Amazonの顔でもある
ドメインは”amazon.co.jp”で”service.zzlysmz.cn”なんて中国ドメインではありません。
このようなバカげたドメインを使ったメールアドレスで
ユーザーさんにギフトメールを送るなんて信用問題に関わる大きな問題です。

もちろんこのメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。

どのみち偽装ですが

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

この差出人はアマゾンを騙っていることは明白なのですでに偽装はほぼ確定です。
差出人は、あくまで自分のドメインは”service.zzlysmz.cn”と言い張るようですので
ならばその鼻っ柱をへし折ってやりましょうか！

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン、どうせウソですけど”service.zzlysmz.cn”について調べてみます。

ね、どうやら中国委の方が持ち主のようですが、「対応するIPアドレスがありません」と書かれて
いるのでIPアドレスには割り当てられていないドメイン。
IPアドレスに割り当てられていないので、現在はこのドメインを利用することができません。
そんなメールアドレスでメールを送ることはできないからこの時点で偽装は確定です！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”140.227.59.114”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

おっと、長野県上田市が出ましたね。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

姑息に無料のドメインで

では引き続き本文。

プレゼントされたギフト券をアカウントに紐づけ登録させるためにログインを促しています。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「アカウントに登録する」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

えっ、まさかの安全宣言？
これは見逃すことは到底できません。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”azamjapenco.dynssl.com”
このドメインにまつわる情報を取得してみます。

申請登録者は、アメリカで無料ドメインを貸し出している有名どころのChangeIPさん。
姑息にも詐欺班は、無料で借りたドメインを利用して詐欺サイトを運営しているようですね。

このドメインを割当てているIPアドレスは”34.85.24.136”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。

ピンが立てられのは、 東京都杉並区和泉２丁目付近。
ここはよく詐欺メールの発信地としてよく出てくる場所ですが今回は詐欺サイトのサーバー設置場所
として出てきましたね。

トレンドマイクロの「サイトセーフティーセンター」での危険度評価からすると、リンク先サイトは
どこからもブロックされることなく無防備に放置されていると思われますが、安全な方法で十分に
注意を払い訪れてみました。

うちのサイトにこのスクショどれだけストックされているでしょうか？(笑)
もういい加減見飽きたアマゾンのログイン画面です。
ギフトプレゼントと称し、まず、ここへログインさせてアマゾンのアカウント情報を盗み取り、
その上で次の画面で個人情報を抜き取り、更になんだかんだと理由をつけてカードの情報まで
盗み取るのが奴らの目的ですから絶対にログインしてはいけませんよ！

まとめ

しかし、第三者不正利用だのアカウントの期限切れだの、そして今度はギフト券ですか。
1000円ってところが実に微妙な値段加減ですね。(笑)
これが10000円だったら怪しいと思う方がどんと増えるだろうし、100円だったら
面倒だから要らないって方も多いでしょうね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;