『詐欺メール』アマゾンから「会員個人情報を更新できませんでし」と、来た件

新たな刺客

連休明けはメールの整理が大変。
取引先からのメール、ショッピングサイトの各種メールやブログコメント通知などの他に
一番大変なのはやっぱりスパムの整理(^^;

その中に新手のアマゾンを騙った怪しいなりすましのフィッシング詐欺メールを発見。
それがこちらです。

件名は「[spam] 件名「Amazonより会員個人情報を更新できませんでし」」
件名にわざわざ”件名”ってつけてるし(笑)
そして文頭の[spam]はスパムスタンプと言ってうちの受信サーバーが悪意のあるメールと
判断し自動で付加するもの。
それにしてもだらしがない差出人ですね、件名くらい最後まできちんと書きましょうよ。

差出人は「Amazon Payments <toshiki@sunfield.ne.jp>」
「Amazon Payments」とはアマゾンが提供している決済システムのことですが、
メールの内容はアマゾンへの不正ログインの告知なので”ペイ”に限定する必要が
あるのでしょうか？

そして「toshiki@sunfield.ne.jp」ってメールアドレス。
アマゾンたる企業がこんなメールアドレスでメールをユーザーに送るって…
ちなみに「sunfield.ne.jp」について調べると、どうやらこのドメインは群馬県の
インターネットプロバイダの「サンフィールド・インターネット」ってところの物。
このメールアドレスが本当なら差出人はこのプロバイダーのユーザーってことになります。

本当はアメリカからのメールだった

メールのヘッダーソースを利用して差出人の身元を確認してみましょう。

メールのヘッダーに残されてる”Received”を見ると差出人の送信サーバーのIPアドレスは
”167.179.104.41”と記載されています。

このIPの利用されている場所を調べるとアメリカと検索され、このIPは現在「vultr.com」って
ドメインに割り当てられていることが分かりました。

ということは、やはり差出人の「sunfield.ne.jp」ってメールのドメインは嘘ですね。

引き続き「vultr.com」ってドメインの持ち主もアメリカのニュージャージー州から申請登録
されていました。

なぜかURLに”yahoo.co.jp”

メールの本文は先にも書いたようにアマゾンへの不正ログインの告知とアカウント利用の
停止案内。

この本文の後にある「確認用アカウント」と書かれたリンクボタンが配置されています。
ただ単に「ログイン」ってボタンの方が自然なのに「確認用アカウント」って違和感のある
書き方とは思いませんか？
やはり差出人は日本人じゃない匂いがプンプンします(笑)

このボタンに貼られてるリンクURLがこちら

出ました！”.xyz”
このドメインを使ったフィッシング詐欺サイトって非常に多いですよね～
なぜかというと、100円以下で取得できるドメインだからです。
こういったサイトは足が付きやすいので格安ドメインを使って使い捨てするからなんですね。

それより、アマゾンを騙っているのになぜ”yahoo.co.jp”ってURL使ってるんでしょうか？
本気なのかお遊びなのか、奴らのこの辺の意識がよくわかりません…

サイトは今現在も稼働していましたので注意が必要です。
そういえばこのメール、このような添付ファイルがくっついていました。

開こうとすると”Chrome”が関連付けされています。
もちろん恐ろしくて開けませんでしたが…(^^;