『詐欺メール』アマゾンから「お支払い方法変更についてのご案内」と、来た件

「.buzz」からは犯罪の臭いがするぞ！！

またまたサーバーの迷子メールにアマゾンを騙るフィッシング詐欺メールを発見！
って、全然珍しいことじゃありませんがね(笑)

件名は「[spam] お支払い方法変更についてのご案内（自動配信メール2020/11/25)」
差出人は「”Amazon.co.jp” <apikey@relevantamazoncardmail.buzz>」

アマゾンがこんなメールアドレスでメール送るんでしょうか？(笑)
因みにこの「.buzz」ってドメインなんですが、100円以下で取得できるの知ってますか？

「.xyz」同様に迷惑メールやフィッシング詐欺サイトによく使われる使い捨てドメインとして
知られています。
皆さんもこんな見慣れないドメインに出くわしたときは要注意ですよ！！

さて、このメールアドレスに使われている”relevantamazoncardmail.buzz”ってドメイン
本当に存在するのでしょうか？
というのも、差出人の名前やメールアドレスって簡単に偽装できるので鵜呑みにするのは
とても危険なのです。

下の図は、このドメインをとあるサイトで調査した結果です。
これによると、このドメインはアメリカのアリゾナ州フェニックスから申請されたもので
現在は”5.8.41.82”ってIPアドレスに割り当てられててそのIPはルクセンブルクで使われている
ことが分かります。
申請者の情報は一応マスクしてありますが、本当の情報かどうかは？？です。
申請日を見ると”2020-11-24”となってるので申請されたばかりなのが分かりますよね？
これを見ても使い捨てドメインなのが想像できます。

次に差出人の情報をメールヘッダーの”Received”から検証してみると
以下のようにやはり先ほどのIPアドレスと合致しました。

この結果から差出人のメールアドレスは偽装されていないことが分かりました。

文章に違和感

さて、続いて本文です。

まず、最初に貼り付けたメールの画像をご覧ください。
恐怖を覚えるようなフォントが使われているのがお分かりいただけると思います。
これ、”Yahei”という中国のフォントで、迷惑メールには非常によく使われているフォント。
こんなの使うと誰も信用しないと思うのですが…(笑)

表示が崩れないように適当な箇所で改行してあります。

真っ先に気になるのは宛先が無いこと。
送信元はこちらの情報をメールアドレス以外何も持ってない状況ですから当然と
言えば当然。
あと、お分かりのように不信と思われる個所に赤色を付けておきました。
いつもと同じですが、句読点がおかしいのは迷惑メールや詐欺メールの特徴です。

そして注目する点が2つあり、1つは「Amazοn」の文字列。
何の理由か知りませんが”o”だけが全角になっています。
それと「どうぞよろしくお願いいたします。メ。」
急にカタカナの「メ。」で文章切られてもねぇ…(^^;

あっ、そうそう。
端末機器のことでしょうけど、この「装備」ってあまり使いませんよね？
たぶんですが、翻訳機で翻訳したまんま使ったんでしょうね(笑)

もちろん書かれてる”43.244.171.175”ってIPアドレスはでたらめ。
確かに日本にはあるようですが、その所在は茨城県日立市でフリービットっていう
プロバイダーさんで使われているようです。

リンク先を暴く

本文中の「続けるにはこちらをクリック」って書かれたところに詐欺サイトへのリンクが
貼られています。
そのアドレスは以下から始まるもの。

これってメールアドレスの”relevantamazoncardmail.buzz”とよく似ていますがドメインだけ
”.xyz”に変えてありますね。
先にも書きましたがこの”.xyz”ってドメインも危険なドメインですのでご注意ください。

さて、このドメインも調べてみると、驚くことにというか、当たり前というか、所在地以外
メールのドメインとまったく同じ情報が検索結果として表示されました(汗)

このリンク先は確認すると今日今現在も稼働していましたので要注意です！

宛先の無いメールでドメインが”.xyz”や”.buzz”などといった見慣れないものの場合は
特に注意してください。
いつも書きますが、たとえアマゾンだろうが楽天だろうが、メールのリンクは絶対に
開いてはいけません。
心配だったらスマホアプリからログインしてください！