『迷惑メール』続：「[緊急の通知] Amazonプライムの自動更新設定を解除いたしました！」と来た件

偽装メールアドレス

またしてもアマゾンを騙った「迷惑メール」を受信しました。
「ほぼほぼ同じ内容のエントリー」がここにもありますが若干相違がありますので
「続」として新しくエントリーを作ります。

「差出人：Amazon.co.jp <account-update@amazon.co.jp>」
差出人名とアドレスはそれらしいものになっていますが、偽装されています。
実際のアドレスは…

ヘッダーを見ると、この赤枠が本当のアドレスでした。

「件名：[spam] [緊急の通知] Amazonプライムの自動更新設定を解除いたしました！」
頭文字に[spam]が追記されているのでスパムフィルターで引っ掛っちゃっています。

もれなく「ワードサラダ」付き♪

では、本文も解析していきます。
文中の所々に「半角スペース」や「無意味な改行」が入れられています。
分かりやすいように手持ちのエディターを使って半角スペースがどこにあるか
マーキングしてみました。

ね、あちらこちらに「半角スペース」がちりばめられていますね。
それに、「早めのお手続きの」の後ろと「程よろしくお願い致します」の後ろに
「無意味な改行」が見られますよね？！
これ、「ワードサラダ」と呼ばれる手法で、文中に無意味なスペースや改行、
全角アルファベットを配置することによって、「スパムフィルター」と呼ばれる
「迷惑メールフィルター」を通過させようとする試みです。
先にも書きましたが、件名の頭文字に[spam]が追記されているのでスパムフィルターに
まんまと引っ掛っちゃっていますが…(笑)

どうです？
こうやって疑いの目で見ると「迷惑メール」ってことが簡単に紐解かれますよね！(*^^*)

大体、アマゾンからのメールなら文頭に「〇×▽様」とユーザー名が入るはず。
それがこのメールはいきなり本文ですから怪しさ満載ｗ

怪しいリンクが

こういったメールには性格上必然的にURLのくっついたリンクは配されています。
はい、それが詐欺サイトへの入り口。
このメールで言えば、文中「こちら」部分と最下段の黄色いボタンが該当します。

以前にもエントリーしているのに今回なぜ「続」として新エントリーしたかと言うと
このリンク、実際のURLは「amazon-secures-2019-12-1-co-jp.vip:8080/website」で
末尾が「.html」などのWebファイルではなく終わっているからです。
これをクリックすると、URLでありながらWebファイルじゃないためにOSがどの
プログラムで開けばよいか分からないので、以下のようなダイアログを表示させて
アプリケーションの選択を促してきます。

「amazon-secures-2019-12-1-co-jp.vip:8080/website」
しかし、よくもこうも長いドメインを取ったものです^^;
この「.vip」ってTLD(トップレベルドメイン)てあまり見かけませんよね？
こういった「.top」「.xyz」「.bid」をはじめとする、見慣れないドメインを使った
メールアドレスやリンクURLは怪しいサイトが多いので特に注意が必要です。

釣られてみる

この「amazon-secures-2019-12-1-co-jp.vip:8080/website」をブラウザのアドレスバーに
貼付けてちょっとだけ釣られてみることにします。

案の定、ヤバいサイトです。
も少し足を突っ込んでみると…

前と同じですね。
ここでユーザー情報を入力させて個人情報を
抜き取り詐欺を成立させるわけです。
因みにここにあるリンク先は全て
「amazon-secures-2019-12-1-co-jp.vip:8080/website」
となっているので「ログイン」ボタン以外は
必ずここに戻ってくるようになっています。

何も入力せずに「ログイン」ボタンを押してみると。

となりました(笑)

IPアドレス調査

では、「Magonote-tools」さんの「IPアドレス・ドメインの持ち主を調査」で。
まずメールのヘッダーを表示させてから取得した情報で調査します。
……
……

ヤベっ
東京が出てきちゃった(;^_^A
郵便番号まで出てくるんでかなり特定されてきますね。
いつも言いますが、あくまで送られてきたメールのメールサーバー設置場所ですので
悪しからず…