『詐欺メール』アマゾン 株式会社から「アカウントのステータスを確認してください」と、来た件

アカウント名が「配信できなかったメール」…

アマゾンを装うこんな怪しげなメールが届きました。

件名は
「[spam] 【アマゾン 株式会社】アカウントのステータスを確認してください」
”[spam]”が付加されていると言うことは、このメールは明らかにジャンクメールの類。
そしてこの「アカウントのステータス」なんて分かりにくい言葉遣い。
間違いありません！

差出人は
「Amazon.co.jp <mb@bounces.amazon.co.jp>」
”amazon.co.jp”なんてそれらしく使っていますが、嘘ばっかり！
もちろん存在しないアドレスです。
それに”bounces”(バウンス)なんてサブドメイン意味知ってて使ってるのか。
そのまま訳すと”跳ね上がる”なんて意味なんですが、メールの世界だと、バウンスメールは
「配信できなかったメール」って意味になります。
アマゾンが「配信できなかったメール」の統計でも取ってるんでしょうか？(笑)

メールには、ヘッダーソースと呼ばれるところに経路情報などが記録されています。
このソースにある”Received”ってフィールドはメールが通過してきたそれぞれのサーバーの
ホスト情報が複数記載されています。
その”Received”は下から順に書き込まれるので、下層へ行くほど時系列が古くなります。
その一番下にある”Received”は差出人がメールを送信した際に最初に通過したサーバー
すなわち差出人が利用するメール送信サーバーのホスト情報。
このメールのヘッダーに記載されていた”Received”がこちら。

また”static.cnode.io”です。
フィッシング詐欺メールのほとんどのホスト情報にこのドメイン記載されています！
いちいち調べるまでもなくそのホストの位置情報は東京の都心。
ホント悪い奴らです！！

適当な理由でリンクを押させる

本文がこちら。

サイトとはアマゾンの公式サイトの事でしょうか？
サイトのメンテナンスなんて当日に連絡します？
それに不完全なアカウントなんてあるんでしょうか？
もちろん内容はつじつま合わせの適当な理由。
目的は、メールに記載されたリンクをなんとか押させるため。

そのリンク先のURLはメールに直書きされているようにこちら。

使われているドメインは”lchrjj.com”
調べてみました。

ほとんどが「REDACTED FOR PRIVACY」とされてプライバシーで保護されていますが
申請は昨年の7月7日で、申請地は中国の上海と記載されています。

そしてこのドメインが割り当てられたIPアドレスが”137.220.141.73”でその所在は東京。

もちろんピンポイントではなくおおよその位置ですが。

実は今朝、サーバーの迷子メールにも別のメールアドレスを使いアマゾンを名乗る同じ内容の
フィッシング詐欺メールが2通入っていました。
もちろん”Received”に記載されているドメインは同じもの。
どうやら一斉に送信しているようです。

それにリンク先のサイトは今現在も稼働中ですのでご用心を！