『詐欺メール』アマゾンから「緊急：お支払い方法の更新」と、来た件

何故だか”Ａ”だけ全角なんです

先のアダルトハッキングメールのエントリ書いてる最中にまた新たな刺客が！
でも内容はありがちなアマゾンを騙るなりすまし詐欺メール…(´･_･`)

これも迷子メールとしてサーバーに入ってきたもので、送信先は既に退社した元スタッフ宛。

差出人は「”Ａmazon.co.jp” <account-update@amazon.co.jp>」←こんなのウソっす！
件名は「[spam] 🔴 Ａmazon – 緊急 ：お支払い方法の更新」
[spam]スタンプされてるんでうちのサーバーでは悪意のあるメールとして処理されたもの。
ここで気づくのは差出人の”Ａmazon.co.jp” と件名の”Ａmazon”って文字。
ちょいちょいみられるんですが何故だか”Ａ”だけ全角なんです。
なにか意味あるんだろうか？？

メールの内容はこちら

相変わらずどーにかしてログインさせようとする試みですね。

まず、宛先の”お客様各位”っての。
本物のアマゾンならここは必ずこちらのユーザー登録したアカウント名で送られてくるので
”お客様各位”ってのは詐欺メールの証拠です。

このメールの発信元は？

では、メールのヘッダーソースから差出人の情報を詳しく調べていきます。

まずは送信されたメールがエラーだった際にエラーメッセージが返送される
メールアドレスが記載された”Return-Path”フィールド。

「Return-Path: <egzeoirbtv6@xs588697.xsrv.jp>」

ホントかウソか知りませんが”xs588697.xsrv.jp”なんてドメインになっていますね。
なので差出人の”account-update@amazon.co.jp>”は嘘っぱち、やはり偽装されていました。
”xs588697.xsrv.jp”も気になるので調べると、このドメインは大手レンタルサーバ会社の
「エックスサーバー株式会社」の持ち物。
そんなところがこんなメール出すはずがありません。
このドメインが正しいのであればエックスサーバーのレンタルユーザーで”xs588697”って
サブドメインを借りてるユーザーって事になりますね。

次に送信者の情報を示す”Received”フィールド。
このメールには合計7つの”Received”フィールドが記載されているんで、いくつかの
サーバーを経由して個々へ届いたんでしょうね。
この中で、時系列の一番古い一番下にあるものが送信元のメールサーバーの情報。
そこはこのように書かれています。

この”119.82.26.92”ってIPアドレスが、送信元のメールサーバーのもの。
このIPアドレスについて調べると割り当て国は日本と出て”********.com”なんて
ドメインに割当てられてることも分かりました。
このドメインは影響ありそうなのでちょっと出せないっす！

では今度は”*********.com”ってドメインについても。

これ以上このドメインについては深堀りしませんが、さくらインターネットっていう
プロバイダーで使用されてるもので申請者の住所は栃木県宇都宮市の会社みたいですね。

メール本文の「ログインする」ってボタンに貼られたリンクのURLについて調べてみます。

貼られてるURLがこちら。

使われているドメインは”875c7tu69f2d069d0dd6f80533092562.best”って長ったらしいもの。
そして”.best”は100円以下取得できる犯罪用の使い捨てドメイン。

見て見て、取得日が2020年11月9日で昨日、そして契約は1年。
やはり使い捨てで使うつもりなんでしょうね。
契約者の登録住所はアメリカアリゾナ州フェニックス。
ああ、この住所、よく見かける住所ですね(^^;

そしてこのドメインの割り当て国は現在日本となっています。
んで、ピンスポットは東京の原宿と出ました。

こんな所にあるサーバーで悪事を企てているんですね～
訪問してみたところ、11月10日現在サイトは稼働中でとても危険です！
絶対にリンクをクリックしないでください！！

それにしても”Ａ”が大文字なのがもの凄く引っ掛るのですが皆さんはいかがでしょうか？…(^^;