『詐欺メール』『【アクション要求】アカウント制限に関する重要なお知らせ』と、来た件

heart

9か月前

今まで正常だったアカウントが急に不備に？！

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

会社名、間違っていますよ～(笑)

おっと、よく見りゃこのページのURLが『https://ymg.nagoya/spam-mail-1900/』じゃないですか！
ってことは、この投稿で詐欺メール関連が1900個目の投稿。
もう少しで2000投稿ですね、頑張ろっと！(笑)

でその1900個目にご紹介するのがご多分に漏れずAmazonに絡むフィッシング詐欺メール。

Amazonとは名ばかりのこのメール、なんて書いてあるのか見てみると。
『お客様のアカウントと支払いに関して、制限がかかってしまっております』と…
アカウント情報に不備があるかもしれないのでリンクからアカウント情報を更新しろと書いてあります。
今まで正常だったのにそんなの急に不備になりますかいな…
それに末尾の署名欄にある企業名が『Amazon株式会社』と記載されていますが、そんな企業名ありません。
Amazonの正式な企業名は『アマゾンジャパン合同会社』です。
自社企業名を間違えるメールなんてありますかいな！(;’∀’)

ってことで、このメールもいつものように解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 【アクション要求】アカウント制限に関する重要なお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”アマゾン” <admin@amuaaczaxv-jp.com>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

バカバカしい、Amazonにかすりもしないメールアドレス使ってよくもまあ騙そうと思いますね。
Amazonの公式ドメインは”amazon.co.jp”ですからお間違いないように！

このメールはAmazonからのものではないものの

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from mail6.amuaaczaxv-jp.com (unknown [172.245.139.180])』

ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーの情報。
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

では”Received”にあったドメイン”mail6.amuaaczaxv-jp.com”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”mail6.amuaaczaxv-jp.com”を割当てているIPアドレスの情報です。
これによると”172.245.139.180”がこのドメインを割当てているIPアドレス。
もちろんこのメールはAmazonからのものではないものの”Received”のIPアドレスと全く同じ数字なので
このメールアドレスはご本人さんのもので間違いなさそうです。

”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

地図に立てられたピンの位置は、アメリカのシカゴ近郊。
送信に利用されたのは、アメリカとカナダを拠点とする『HostPapa』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

また『杉並区立和泉二丁目公園』付近

では引き続き本文。

申し訳ございませんが、弊社からの重要なお知らせがございます。

お客様のアカウントと支払いに関して、制限がかかってしまっております。お客様のアカウント情報に不備がある場合、アカウントの制限が発生することがございます。お客様のアカウント情報のご確認をお願い申し上げます。

以下のリンクをクリックして、アカウント情報の更新を行ってください。更新が完了するまで、一部のサービスを制限される場合がございますので、お早めに手続きを行っていただけますようお願いいたします。

リンク: アカウント情報の更新ページへ

ご回答をいただけない場合、アカウントのご利用制限が継続されることもございますので、予めご了承下さい。

・お客様のアカウント情報が正確に登録されていることをご確認ください。
・一部のサービスが制限される可能性がございますので、お早めに手続きを行っていただけますようお願いいたします。

何かご不明な点がございましたら、お気軽にお問い合わせください。今後とも当社サービスをご利用いただけますよう、心よりお待ちしております。

■発行元：Amazon株式会社

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『アカウント情報の更新ページへ』って書かれたところに付けられていて
リンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。

なんか白黒はっきりしない中途半端な評価ですね。
どうしてこのような評価なのでしょうか？

このURLで使われているドメインは”www.maszmxwetaaz.com”とこれまたAmazonにはかすりもしないもの。
このドメインにまつわる情報を取得してみます。

どうやらこのドメインは日本から申請されていますね。
このドメインを割当てているIPアドレスは”43.133.219.63”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

地図に立てられたピンの位置は、国内有数の詐欺サイト地域である『杉並区立和泉二丁目公園』付近。
利用されたのは中国に拠点を置く『Shenzhen Tencent Computer Systems Company Limited』と言う
ホスティングサービス。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

詐欺サイトへPCで接続すると…

でもどうして『Nortonセーフウェブレポート』ではあのようなはっきりしない評価だったのでしょう？
PCからリンク先に出向いて確認してみます。

『localhost で接続が拒否されました』と書かれたエラーページが表示されました。

恐らく『Nortonセーフウェブレポート』はこちらのページで評価の判断を下しているのでしょうね。

でもこれ、Amazonを騙る詐欺メールでよく見掛けるのですが、PCからの接続先とスマホやタブレットからの
接続先を切り分けているようで、理由はよくわかりませんがPCからの接続の場合このように表示され
正常に接続できないことがよくあります。

危険ではありますが、このサイトにスマホから接続を試みてみます。
しっかりブロックされましたね！

構わず先に進んでみると…
サイトは存在するものの完全にブロックされていますね！

これだけガッツリとブロックされていれば大丈夫でしょう！

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)