偽装メールアドレス
またしてもアマゾンを騙った「迷惑メール」を受信しました。
「ほぼほぼ同じ内容のエントリー」がここにもありますが若干相違がありますので
「続」として新しくエントリーを作ります。
「差出人:Amazon.co.jp <account-update@amazon.co.jp>」
差出人名とアドレスはそれらしいものになっていますが、偽装されています。
実際のアドレスは…
ヘッダーを見ると、この赤枠が本当のアドレスでした。
「件名:[spam] [緊急の通知] Amazonプライムの自動更新設定を解除いたしました!」
頭文字に[spam]が追記されているのでスパムフィルターで引っ掛っちゃっています。
もれなく「ワードサラダ」付き♪
では、本文も解析していきます。
文中の所々に「半角スペース」や「無意味な改行」が入れられています。
分かりやすいように手持ちのエディターを使って半角スペースがどこにあるか
マーキングしてみました。
ね、あちらこちらに「半角スペース」がちりばめられていますね。
それに、「早めのお手続きの」の後ろと「程よろしくお願い致します」の後ろに
「無意味な改行」が見られますよね?!
これ、「ワードサラダ」と呼ばれる手法で、文中に無意味なスペースや改行、
全角アルファベットを配置することによって、「スパムフィルター」と呼ばれる
「迷惑メールフィルター」を通過させようとする試みです。
先にも書きましたが、件名の頭文字に[spam]が追記されているのでスパムフィルターに
まんまと引っ掛っちゃっていますが…(笑)
どうです?
こうやって疑いの目で見ると「迷惑メール」ってことが簡単に紐解かれますよね!(*^^*)
大体、アマゾンからのメールなら文頭に「〇×▽様」とユーザー名が入るはず。
それがこのメールはいきなり本文ですから怪しさ満載w
怪しいリンクが
こういったメールには性格上必然的にURLのくっついたリンクは配されています。
はい、それが詐欺サイトへの入り口。
このメールで言えば、文中「こちら」部分と最下段の黄色いボタンが該当します。
以前にもエントリーしているのに今回なぜ「続」として新エントリーしたかと言うと
このリンク、実際のURLは「amazon-secures-2019-12-1-co-jp.vip:8080/website」で
末尾が「.html」などのWebファイルではなく終わっているからです。
これをクリックすると、URLでありながらWebファイルじゃないためにOSがどの
プログラムで開けばよいか分からないので、以下のようなダイアログを表示させて
アプリケーションの選択を促してきます。
「amazon-secures-2019-12-1-co-jp.vip:8080/website」
しかし、よくもこうも長いドメインを取ったものです^^;
この「.vip」ってTLD(トップレベルドメイン)てあまり見かけませんよね?
こういった「.top」「.xyz」「.bid」をはじめとする、見慣れないドメインを使った
メールアドレスやリンクURLは怪しいサイトが多いので特に注意が必要です。
釣られてみる
この「amazon-secures-2019-12-1-co-jp.vip:8080/website」をブラウザのアドレスバーに
貼付けてちょっとだけ釣られてみることにします。
案の定、ヤバいサイトです。
も少し足を突っ込んでみると…
前と同じですね。
ここでユーザー情報を入力させて個人情報を
抜き取り詐欺を成立させるわけです。
因みにここにあるリンク先は全て
「amazon-secures-2019-12-1-co-jp.vip:8080/website」
となっているので「ログイン」ボタン以外は
必ずここに戻ってくるようになっています。
何も入力せずに「ログイン」ボタンを押してみると。
となりました(笑)
IPアドレス調査
では、「Magonote-tools」さんの「IPアドレス・ドメインの持ち主を調査」で。
まずメールのヘッダーを表示させてから取得した情報で調査します。
……
……
ヤベっ
東京が出てきちゃった(;^_^A
郵便番号まで出てくるんでかなり特定されてきますね。
いつも言いますが、あくまで送られてきたメールのメールサーバー設置場所ですので
悪しからず…
|