『詐欺メール』『Amazonシステムアップデートのお知らせとお願い』と、来た件

★フィッシング詐欺解体新書★

なぜユーザーがアップデートしなければならないの？？

いつもご覧くださりありがとうございます！

またしてもAmazonに成りすますフィッシング詐欺メールです。
今回はありもしないシステムアップデートを騙ってリンクに誘い込もうとしています。

システムアップデートを実施するのでアップデート作業をお願いしますとの事。
Amazon側のシステムアップデートなのにどうしてユーザーがアップデートしなければならないのでしょうか？解せませんよね？
例によって時間制限されていて期間内にアップデートしない場とアカウントに制限が掛かると書いてありますね。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

”shokutsu.co.jp”は Amazon ではなく『食通』さんのもの

もう皆さんご存知ですよね？
そう、Amazonが使うメールアドレスのドメインは”amazon.co.jp”のみ。
それなのに送信者のメールアドレスに使われているドメインは”shokutsu.co.jp”と全く異なります。
因みにこのドメイン、調べてみると、おいしい胡麻ドレッシングを販売している『食通』さんの物。
もちろん食通さんがAmazonのメールを代筆するはずが無いので偽装に使われているものです。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

食通さんの名誉のために、このドメイン”shokutsu.co.jp”を割当てているIPアドレスとこのIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”shokutsu.co.jp”を割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる”shokutsu.co.jp”を使ったメールアドレスは偽装であることが断定できます。
これで食通さんは無罪放免です！

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、『大阪市』付近であることが分かりました。

ああっ、ちょっと待ってくださいよ！
『ホスト名』に”h106.sk3.estore.co.jp”と書いてあるのでこの送信者の本当のドメインこれみたいですよ。
このドメインの持ち主を『Grupo』さんで調べてみましたが、このような結果でした。

ぼかし入れても調べたら簡単に分かりますけどね。(笑)
とは言うものの、このドメインだって乗っ取られたものかも知れないので何とも言えませんが…

偽ページの簡単な見分け方

さて、本文の『更新を確認』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://zcpu1gdyh.top/amyou/】
(直リンク防止のため一部の文字を変更してあります)
これまた『Amazon』のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、香港の『九龍地区(Kowloon)』付近であることが分かりました。
まあ毎日見ているような地図ですけどね！(笑)

リンクを辿ってみると、このようなページが開きました。

そう、偽のAmazonのログインページです。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となりますが、このページ、見分け方があります。
一番下の『初めてAmazonをご利用ですか？』と書かれた下にある『次に進む』と書かれた白いボタン。
本物はこのように『Amazonアカウントを作成する』です。

『初めてAmazonをご利用ですか？』で『次に進む』は何とも違和感ありますもんね！

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;