『詐欺メール』[緊急通知]Amazonプライムの更新設定を解除いたしました!と来た件

迷惑メール
2019-07-22
記事内に広告が含まれています。

※このエントリーには「新しい関連エントリー」があります。
此方も併せてご覧ください。

また末尾に「!」付いてる(笑)

今月4通目の『迷惑メール』

はい、週明け月曜。
リフレッシュを終え気持ちよくスタートしたいと出社したところへ「コレ」です。

ん?これどう見ても『詐欺メール』なのに
ヤバイ!何時ものように[spam]判定されていないし💦
でも、どう見ても……もう、週明け早々仕事させてくれい!

『詐欺メール』判定のその理由は?

どうして『詐欺メール』と判断できるか?というと理由はいくつかあります。

下の図は、メールのキャプチャーにコメントしたもの。

じゃ上から行きますよ~

まず、送信元のメールアドレス。
『Amazon.co.jp Customer Service <update@customerhelper1.xyz>』
@より後ろのドメインはアマゾンジャパンからのメールであれば「amazon.co.jp」
となるはず。
ところがこのメールは「customerhelper1.xyz」と
わけの分からないドメイン…┐(´д`)┌ワカリマセン

次に、メール「アカウントサービス」と「Amazon.co.jp」と
もう一つ「番号:503-3263722-0041460」と書かれた部分。
これらは普通リンクが付いてる箇所ですが、リンク色が付いているだけで実際にリンクは
ありません。

次に文中の「yama様」と書かれた宛先。
これは多分当方のメールアドレスのアカウント(@より前)だけを抜き出したんでしょう。
本物のamazonからのメールは下図の様に登録したアカウント名が宛先のはず。

と、これらがその根拠なんです~♪

文中のヤバい場所は?

こういった『詐欺メール』は文中に必ず偽装リンクが必ず張られています。
このメールで言うとこの「黄色いボタン」の部分。


『支払い方法を変更』と書かれた黄色いボタンはURLリンクされています!
もし、本当にアマゾンジャパンから送られてきたメールなら、
そのリンク先は先程のメールドメインと同じように「amazon.co.jp」であるはず。
ですが実際は
「ttps://metsuyampnb198909.shortcm.li/DWOFfD」
(クリックしてもリンクしないように先頭の”h”は消してあります)

なので文中で一番ヤバい部分はこの「黄色のボタン」
絶対にクリックしないでくださいよ!

多分このURLも偽装で、一旦はこのアドレスに接続されるものの一瞬で素通りして
違う詐欺サイトのURLに誘導されるはずです。

一応今回もアマゾンジャパンのサイトで使用している
アドレスが公開されていますので貼っときますので参考までに。

今現在まで未対策の模様

検証のため『支払い方法を変更』と書かれたボタンをクリックしてみます。
(皆さんは絶対にしないでください!)
いつもならリンクをクリックすると、リンク先は既に削除されているか若しくは
トレンドマイクロが保護したページに誘導するはずが…。

あらら💦(・_・;)ヤベッ
いかん、いかん、未対策じゃねーの!

ちとアドレスバー見てもらっていいですか?
さっきのリンクアドレスと全く違うでしょ?!
やっぱり偽装されてましたわ~
全部貼り付けるとこんな感じ(先頭の”h”は削除済み)
ttps://attentionupdate.amazxos.com/2p6FPyiVlUevfqaXr4xZCIc3WGgnAHtO/login.php?p=0&token=617474656e74696f6e7570646174652e616d617a786f732e636f6d

何ともそれらしいアドレスですが、ドメインが…( ´,_ゝ`)プッ
「amazxos」
これって本気で似せてるのか、それとも笑わせてるのかどっちだい?!

本文の内容は?…

では、いつものように詳しく見ていきましょう♪

プライムの会員資格が2019/07/19に切れるって書いてあるのに
送信日時が2019/07/19の23:52って
猶予が8分かい。
それも夜中にかい。

「お支払いに使用できる有効なクレジットカードがアカウントに登録されていません」
って、それ嘘そだし、おたくで作ったアマゾンカードですがなにか?

これってハマると結局最後にクレジットカードの情報を入力させる手口っすよね?!

では最後にIP調査

さぁ、では恒例のIPアドレスによる調査。
今回も「Magonote-tools」さんの「IPアドレス・ドメインの持ち主を調査で。

まずはメールのヘッダーをすべて表示させてと。
ヘッダーから取得した”from”のIPアドレスをここに貼ってと。

ポチっと
……
……

どうやらドイツのとある街の湖?池?のド真ん中。
ここが今回メールを発信してきたサーバーの設置場所です。
あくまでこのIPアドレスは、送信元ではなく送信元のメールサーバーが
設置されている場所、すなわちプロバイダーのサーバーセンターと言う事になります。
なので自身のIPを調べても、契約しているプロバイダーが所有するサーバーセンター
が特定されますのであしからず♪

迷惑メール相談センターに通報

では最後に、毎度のことながら通報します。
迷惑メール相談センター情報提供ページ」にある
メールアドレス(meiwaku@dekyo.or.jp)宛に
「ヘッダーをすべて表示させた」状態で迷惑メールを転送します。

これで一連の作業は完了。
お疲れ様でした (^^♪

いつもの事ですが、おかしなメールが届いても文中のリンクやボタンさえ押さなければ
何も起こりません!
そんなメールは即座に葬ってやってください(*^^*)

 

目次
タイトルとURLをコピーしました