『詐欺メール』Amazonから『からセキュリティコードをお送りします』と、来た件

迷惑メール
この記事は約7分で読めます。

気持ちの悪いワードサラダ付きのメール
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

あなたはだれ?

何ともおかしな件名のメールがAmazonらしきところから届きました。
そのメールがこちらです。

『からセキュリティコードをお送りします』ってどうよ…(;^_^A
差出人のメールアドレスもどこから来たのか全く不明だし。
ドメインが”.cn”でアカウント名に”admin”とあるので、中国のどこかの管理者からだってのはかろうじて
分かりますが…

本文を見ると、Amazonのバナーがあり、末尾に『Amazonまたのご利用をお待ちしております』と
書いてあるのでやっとこのメールの差出人がAmazonであることが分かりました。(笑)

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『[spam] からセキュリティコードをお送りします』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『2段階認証 <admin@srmil.cn>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

件名と差出人でから想像して分かることは、セキュリティコードが送られてきていることと
中国で2段階認証を管理している差出人からであること。(笑)


送信サーバーは『天安門広場』東側付近にあり

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from mail.srmil.cn (mail.srmil.cn [116.204.106.98])』

この”Received”に記載のIPアドレスは差出人が利用したメールサーバーに割当てられたもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”srmil.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”srmil.cn”の登録情報です。
まず、ドメインを割当てているIPアドレスと”Received”のIPアドレスが全く同じ数字なので
このメールアドレスは差出人ご本人さんのもので間違いなさそうです。

そしてこのドメインの管理者は”Registrant”欄から推測するに貿易を生業とする企業で
更にその国と地域は中国ということになります。

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

代表地点としてピンが立てられたのは、中国北京にある天安門広場東側付近です。
それにしても久しぶりですね、この地図。
以前はここにたくさんの詐欺メール発信基地がありましたが、最近はロシアのサンクトペテルブルクに
その座を奪われていました。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

送信に利用されたのは、中国の『Huawei Cloud Service data center』と言うプロバイダーです。


詐欺サイトは『杉並区和泉2丁目公園』付近で運営中

では引き続き本文。

Eメールアドレスのため、以下のセキュリティコードを入力してください:

520041

このOTPは誰とも共有しないでください。当社のカスタマーサービスチームからは、パスワード、OTP、クレジットカード、銀行情報を求めることはありません。

ログインしているのがご本人ではない場合は、アカウントのセキュリティを確保するため、次のリンクからアカウントの 2 段階認証を直ちにオンにしてください。

2段階認証を有効にする

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『2段階認証を有効にする』って書かれたところに付けられていて、
そのリンク先はGoogleの『透明性レポート』のサイトステータスはこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”amzsafty-account0054122.pplkij.com
このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは”47.74.58.149
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは、中国の『Alibaba.com LLC』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのはなんと国内の『杉並区和泉2丁目公園』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
もちろん間違ってもログインしてはいけませんよ!


気持ち悪いワードサラダが付いていました!

よく見るとこのメール、裏に何か隠されている気がします。
では、このメールの表示方法をHTML形式からプレーンテキスト形式に切り替えてみます。

すると、なんだかおかしな文字や記号がちりばめた本文が表示されました。

ぼかしの入れてある部分には私のメールアドレスにあるアカウント部分が入れられていました。
HTMLには無かった文字などがあぶり出したように浮かび上がっていますね。
これは、単なるお遊びやおまじないではなく『ワードサラダ』と呼ばれる技法。
メールの受信サーバーに備えられた悪意のあるメールを仕分けするスパムフィルターと呼ばれる
セキュリティを通過させることを目的として付加された記号や文字です。
でも、このメールの件名を見てわかる通り、見出しに『[spam]』と付けられているので
その企みがうちの受信サーバーでは実ることはなかったようです。(笑)


まとめ

この件名と差出人名で騙されるとしたらよっぽど注意力の無い方だと思いますよ!(笑)
Amazonを騙るメールはあまりにも多すぎるので、Amazonからのメールは注文確認以外は
無視を決め込みましょう!

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました