『詐欺メール』アマゾンから「アカウント情報変更のお知らせ」と、来た件

なぜ”ｏ”だけ全角なん？

サーバーに残された迷子メールの中に「アカウント情報変更のお知らせ」という件名の
フィッシング詐欺メールを発見。
こんな件名はたぶん紹介していないだろうと確認してみると、やはり初めての件名。
ってなわけでエントリーを書いてみることに。
でも、内容は残念ながら以前にも紹介したことのある見覚えのある内容でした。

送信先は、退社した元スタッフ宛。

内容は、上のように知らない場所で誰かがなりすましてアマゾンにログインしたので
確認しろと。
画像を見ていただくとわかるように使われてるフォントが中華フォントの”YaHei”
何回見ても気色悪いフォントです(-_-;)

皆さん、このメールにおかしなところがあるのをお気づきでしょうか？
「弊社のモニタリングにより。普段と違う不審なログインが見つかり。」の”。”
日本人ならここに句読点は入れないか入れるなら”、”ですよね？

また、他人事のような「変更しようとしていたそうです」といい加減な言い方。

そして究極は「あなたのAmazοnのアカウント」
わかります？　”ο”だけ全角…(^^;
なにの目的があってここだけ全角なのかわかりませんが、全角が使えるPCは
国が限られてきますのでおおよそ犯人の国籍が想像できますよね？　(笑)

IPアドレスが書かれていますが、もちろんでたらめ！
調べてみるとイーモバイルさんの持ち物でIPアドレスの所在地は兵庫県ではなく東京でした。

「装備：Windows NT 10.0; WOW64」　日本人がOSを”装備”なんて書かないし
それに「Windows NT 10.0; WOW64」ってわかる人少ないでしょ？
どーでもいいけど普通なら「Windows  10; 64ビット」と書くでしょう(笑)

メールのヘッダーで犯人捜し

では、ペールのプロパティーやヘッダー情報から犯人捜し。

まず、件名は「[spam] アカウント情報変更のお知らせ」
spamが示すようにうちのサーバーで悪意のあるメールと判断された証拠です。

そして差出人は「”Amazon.co.jp” <apikey@newnameanazoncardmail.icu>」
”newnameanazoncardmail”って何ですか？
こんなドメイン存在するんでしょうか？

やっぱり見当たらないようですね(笑)

では次に、メールのソースを表示させてヘッダーを見ていきます。
エラーの際の返信先である”Return-Path”にも”apikey@newnameanazoncardmail.icu”と
差出人と同じメールアドレスが記載されています。

そして、送信元のメールサーバーの情報がわかる”Received”にはこんな記載が

これによると、送信元のメールサーバーのIPアドレスは”5.8.41.19”ってことになります。
早速これを調べてみると。

このIPアドレスは現在”ルクセンブルク”にあって”jiaozong11225.example.com”ってドメインに
割り当てられているようです。
ということは、ルクセンブルクの在住者なのでしょうか？

メールの本文にある「続けるにはこちらをクリック」と書かれた部分がアマゾンの偽サイトで
フィッシング詐欺サイトへのログインページ。
そのURLがこちらです。

”newnameanazoncard”は偽のメールアドレスにも使われてたのと同じですが、ドメインが
”.icu”じゃなくて”.club”になっています。
この”nowupdate.newnameanazoncard.club”ドメインを調査すると…

どもまで本当のことが書かれてるかわかりませんが、一応マスクしておきましたが
ドメインの申請はアメリカアリゾナ州フェニックスから行われています。
そしてこのドメインは”160.119.70.108”ってIPアドレスに割り当てられてて
現在はインド洋に浮かぶセーシェルって島国にあるようですね。

アマゾンがインド洋に浮かぶ島でウェブサイトを運営を…しますかねぇ～？(笑)

フィッシング詐欺サイトは現在も稼働していますので要注意！
もし、必要であればアマゾンへはスマホアプリか保存したブックマークからログインして
利用するように心掛けてください！