『コレ、ヤバイ！』「Amazonセキュリティ警告: サインインが検出されました」で騙されそうな件

このメール、「詐欺メール」です。

なかなか見分けがつかなくて、マジで危うくだまされるところだったよ…(;^ω^)
こんなの一般の人の所に届いたらと思うとゾッとします(;´･ω･)
では、どうやって見分けるのか、ちょっと詳しく見ていきますので参考にしてください。

メールのヘッダーソースから推測

ではまず、メールの”ヘッダー”と呼ばれる箇所から悪意のあるメールかどうか
確認していきます。

差出人：「amazon.co.jp <auto-confirm@amazon.co.jp>」
ここは、送付元のメールソフトでいくらでも書き換えられるので、全く信用できません。
メールには通常表に出ていない”ヘッダー”と呼ばれるその受信メールに付随する詳しい
内容が添付されて送られてきます。
このソースはメールソフトの設定を切替えることで閲覧することができるようになります。
下の図は”Thunderbird”でヘッダーをすべて表示する方法です。

注目したいのは”Message ID”と”Return-Path”の項目
このメールの場合


こうなっていました。
どちらも確認しなければならないのは＠より後ろの部分。
どちらかのソースでアマゾンと全く関係のないものが使われているようなら”赤”
今回のメールの場合、”Return-Path”がそれに該当します。
”Return-Path”の＠以降は”ドメイン”と呼ばれる部分で、ここを見るとアマゾンに全く
関係性の無い”mobimoosenewscotland.com”なんてドメインが使われています。
但し、詳しくは知りませんがどちらも改ざんは可能らしいので当てにならない場合も
あるとかないとか…(;^ω^)

続いて件名。
件名：「Amazonセキュリティ警告 サインインが検出されました」
これで何が分かるのか？
一般的にメールサーバーで詐欺メールや迷惑メールと判断された場合、メールタイトルの
頭に[spam]と追記されるのですが、今回は追記されていません。
今回は何も追記されていないので件名ではヤバいメールかどうか判断つきませんでした。
ただ、後で書きますが、本当のメールの場合タイトルは
「Amazonセキュリティ警告: サインインが検出されました」
のように、”警告”と”サインイン”の間に”: ”が入っています。
でも、貰ったこと無きゃそんなの分かりませんよね(笑)

メール本文から推測

次にメールの本文から確認してみます。

”○□▽様”の部分。
本物の場合、アマゾンにユーザー登録した際に記入した”名前”が記載されてきます。
今回のメールの場合、ここは私のメールアドレスになっていました。
こういった悪意のあるメールの場合、こちらの名前なんて知るわけがないので
ここはいつも宛先が無かったり”メールアドレス”だったり”Amazonお客様”なんて抽象的な
ものになることがほとんど。
なので、ここの”宛先”が登録した際の名前やアカウント名ではない場合は
”赤”と言う事になります。

また”付近 Osaka, Japan”の部分。
地域情報は、インターネットに接続している”IPアドレス”と呼ばれる機器を判別する番号
から判断されますが、悪意のあるメールの場合、こちらのIPアドレスなんて知る由もないので
あてずっぷな適当な場所が書かれています。
今回の場合”大阪”になっていますが、私は名古屋にずっと居ます(笑)

そして、新しいデバイスからサインインしたからと言ってアカウントを停止させる
ことはありません。
こういった悪意のあるメールの場合、焦りを起こさせるためにアカウントを停止したと
受信者を煽るような言葉を使う事が多いのも特徴です。

本文をTEXT形式で表示する

メールって普通に受け取るとWebページと同じように写真や文字装飾などを施して
読みやすいように”HTML”と呼ばれる形式で表示されています。
でも、”HTML”の場合、スクリプトと呼ばれるようなプログラムを使い巧妙にウイルスを
仕込ませることが可能です。
また、ページの中にリンクを作成し、受信者の目的とは違うページにリンクさせる
事も可能なので、このリンク機能を悪用し偽サイトへ簡単に誘導したりします。

これもThunderbirdの設定ですが、”HTML形式”から”TEXT形式”に切替える方法です。

下の図が、今回のメールを”TEXT形式”表示に切替えてみたところです。

注目は、末尾に書かれているURL。
これは”HTML”ではリンクボタンにタグとして付けられていたもので実際は見えて
いなかったもの。
ほらよく見てください、Amazonとは全く関係のないURLでしょ！！
これで”真っ赤っか”ですね(笑)

もうこれでブラックメール確定です♪

本物の警告メールと見比べる

実は、以前このブログで「本物の警告メールのエントリー」を書いた時のメールを
取って置いたのでそれと今回のメールを見比べてみます。

まずは件名と差出人。

上段が、本物で下段が偽物。
先に書いたように、”警告”と”サインイン”の間に”: ”が入っているのが分かります。
そして差出人も少々違うようです。

そして次に”ヘッダーソース”

本物のアマゾンからのメール どちらもドメインは”amazon.com”と正規ドメインが使われています。

今回の悪意のあるメール 前にも書いたように”Return-Path”はアマゾンに全く関係のないドメインです。

では、本文はどうでしょうか？(スマホでは見難いかも知れません)

本物ノール(右側はTEXT形式) 　 宛名は名前になっており、アカンとを停止するなんて書いてありません。

偽物のメール(右側はTEXT形式) 　 宛名はメールアドレスになっています。

このメールを受取ったのが、今朝深夜の午前0:24。
この告知だとログインしたのが今日5日の午後0:23。
なので半日ほど未来ってこと(笑)
タイムマシンでもなきゃ無理無理！！

見分け方、少しは分かりましたか？
しかし、スパムフィルターを通過してきてるんで巧妙でしたね今回は。
コロッと騙されるところでしたよ(;^ω^)

引っ掛ったらどうなるかって？
リンクを誤ってクリックすると偽サイトに導かれます。
まずは、名前や住所電話番号など個人情報を入力させられてこれら全てを盗み取られます。
次に今度はカードの情報を入力させられてこれも抜取られます。
こうなるともう犯人の思う壺！
まずアマゾンでなりすま詐欺に遭ってなんやかんや買物されます。
送り先はどこかのコンビニでしょうね。
で、送り先が新規の場合カード情報を更新しなければならないので
盗み取ったカード情報を使って更新されます。
また、カード情報はアマゾンに限らずネット上ならどこでも利用可能なので
なりふり構わず使われてしまうでしょうね。

とにかく奴らもどんどん巧妙になるので気を緩めずに気を付けてることしか
対策はありません。
とにかくアカウントに関する内容のメールは特にお気を付けください！