『詐欺メール』新「Amazon.co.jp 様からのギフト券がアカウントに登録されていません」と、来た件

★フィッシング詐欺解体新書★

身に覚えのないギフト券

暑かったり寒かったりを繰り返し体調不良の方が散見されるこの時期、皆さんはいかがお過ごしでしょうか。
そんな初夏の候、Amazonからギフト券がアカウントに登録されていないというメールが届きました。

もちろんこのメールは、Amazonを騙った詐欺メールなのですが、約1年ほど前にも同様のメールが届き
一度ここでご紹介したことのあるものです。

『詐欺メール』「Amazon.co.jp 様からのギフト券がアカウントに登録されていません」と、来た件

1年以上が過ぎそろそろ世間から忘れ去られてしまった頃かと思い、あらためてこのメールを再び取上げて
みることにいたします。

書かれている内容は、金額以外1年前のものと全く同じ内容で、ギフト券を有効にさせるために
ショッピング前にリンク先からアカウントに紐づけするよう促すものです。
で、このメール、差出人欄が示す通り「Amazon」からものですが、件名や本文共に「Amazon様から」と
記載があります。
Amazonにしてみれば、受取人はお客様ですから普通は自身をへりくだるものですが、このメールじゃ
ずいぶん上から目線になっちゃっていますが、犯人としてこれで良いと思っているのでしょうか？(笑)
ま、詐欺メールにいちいちケチをつけてても仕方がないので、早速このメールを解体し詳しく見ていきましょう！
ではまずはプロパティーから見ていきましょう。

件名は「[spam] Amazon.co.jp 様からのギフト券がアカウントに登録されていません」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon.co.jp <info@Amazon.co.jp>」
昨年ご紹介した際は「Amazon.co.jp <amazon-account@oragzt.top>」って差出人でしたが、
奴らは少しスキルを上げたのか今回はちゃんとAmazonの公式ドメインを使ったメールアドレスで
発信したようですね。
でも、ここは誰でも簡単に偽装できる部分なので鵜呑みにしてはいけません！
その辺り、次項でヘッダーを解析して詳しく調べてみます。

送信サーバーはソウル

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースの”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

これがこのメールにあった”Received”

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレス。
これを紐解けば差出人の素性が見えてきますので詳しく見ていきます。
”Received”のIPアドレス”118.107.56.167”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元に通信履歴情報やその割り当て地を確認してみます。

左の欄に通信移管する情報が記載されていますが、利用されたホスティングサービスは
「Rackip Consultancy Pte. LTD」と言うプロバイダー。
調べてみると、不正リスクの高いプロバイダーに分別されていて詐欺に加担していると
周知されています。

割り当て地に関しては、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、隣国の「ソウル」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンクはPCとスマホでは接続先が異なる

では引き続き本文。
唐突に冒頭からこのように書かれています。

以前に届いたものも同じですが、「様」から始まる不思議な本文です。
恐らくこの「様」の前にAmazonのロゴがあるので、それを「Amazon」とみなして読ませている
つもりなのでしょうね。(笑)

さて、リンク先についてですが「アカウントに登録する」と書かれた黄色いボタンに張られています。
最近のAmazonを騙る詐欺メールで多いのが、リンク先に接続すると「localhost」に接続される
詐欺メール。
今回もご多分に漏れず…

もしかしてスマホ専用サイトなのかと思って、このURLをスマホから開いてみると
このように表示されました。

このリンクは、PCサイトとスマホサイトに切り分けを行っているようで、PCでは接続できない
仕組みが組まれているようですね。

書かれているのは。

これをGoogle先生にお願いしてみると…

どうやら既に危険なサイトとして登録されているようですね。

因みにNortonの「セーフウェブレポート」で確認してみるとこのように表示されました。

利用ホストは「防弾ホスト」

このURLで使われているドメインは、サブドメインを含め”amazom.omgzxc.top”
確かに”amazom”って入っていますが、本物のAmazonのドメインではありません！

このドメインを割当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”199.195.250.219”
このIPアドレスを元に回線に難する情報とその割り当て地を確認してみます。

利用されているホスティングサービスは「FranTech Solutions」
どうやらこのホストは既にサービスを停止しているようですが、昨日は存続しているようです。
このホストは「防弾ホスト」と呼ばれる種類で、このようなホストは規制が緩い国々に本拠しており
貸し出したサーバに関する情報を外部に一切公開せず、通報が合ったとしてもサーバの停止などは行わず
稼働し続けます。

続いて位置情報。
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、ニューヨーク州の「ステタン島」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されていたようです。

まとめ

不意なAmazonギフトに騙されてはいけませんよ！
身に覚えのないギフトに目が眩み、逆に詐欺師に引っかかり損をするなんてシャレになりませんからね！

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;