『詐欺メール』アマゾンから「【重要】異常ログイン通知」と、来た件

アマゾンが中国ドメインを？！

週末、2度目の頃なの予防接種を終えました。
医療従事者の方々には感謝です。
しかし、接種日を週末土曜にしておいて良かったです。
1度目は何も起きませんでしたが、2度目ではご多分に漏れず38.4℃まで発熱しました。
一晩立って今朝には下がりましたが左肩には鈍痛がいまだ残っています。

さて、例によって週明けのメールチェックにはたくさんのフィッシング詐欺メールが
網に掛かっています。

まず最初にご紹介するのはこちらのメール。

今までにも同じようなものを何度かご紹介していますが、件名が若干違うので復習の意味も
込め改めてご紹介します。

件名
「[spam] 【重要】異常ログイン通知」
”[spam]”とスパムスタンプ付いていますから子音メールは悪意のあるジャンクメール。
「異常ログイン通知」って件名もめちゃくちゃ怪しいですね。

差出人
「Amazon.co.jp <account-jp-amazon@inj0p2.cn>」
メールアドレスに使われているドメインが”inj0p2.cn”
意味の分からない文字と数字のサブドメインに”.cn”って中国のトップレベルドメイン。
これまた怪しさ満載(笑)
こんなメールは1000％アマゾンからではありません！

最近、偽装せずに自身のメールアドレスを使った詐欺メールが多い傾向ですが
このメールはどうでしょうか？
メールヘッダーにある”Received”を確認してみましょう。

これは差出人が利用した送信サーバーのホスト情報です。
末尾の数字はそのサーバーに与えられたIPアドレス。
このIPアドレスとドメインの関連性を確認してみます。

このIPアドレスにはちゃんとメールアドレスに使われているドメインが割当てられていました。
この結果から、この差出人は偽装することなく自身のメールアドレスを使いメールを配信して
いるようです。
そして、このドメインの申請者は漢字三文字の氏名の方、でもって、メール送信サーバーの
在りかはルーマニアと出ていますね。

amazonじゃなくてanazom

では、本文を見ていきましょう！

書き出しにある宛名は私の仕事用のメールアドレスになっています。
公式アマゾンなら登録名を使うはずですが何故だかメールアドレス。
もちろん詐欺師は私の氏名など知るはずありません。
どこかで出回ったリストにある私のメールアドレス宛にこのメールを送ってきているのです。

「アカウントを>引き続き使用するには」にある”＞”はどんな意味があるのか非常に
興味があります。(笑)

この本文にある黄色の「確認用アカウント」と書かれたボタンには、詐欺サイトへのリンクが
隠されています。
さてそのURLは？

amazonじゃなくてanazom

意味があるのかないのか…(汗)

ここにある”anazom.co.ip.upjkbm.shop”ってドメインも調べてみます。

ドメインの申請情報から
Registrant State/Province: guang dong　←　広東省
Registrant Country: CN　←　中国

その他ほとんどがプライバシー保護となっています。

ドメインに割当ててるIPアドレスから推測される位置はアメリカ合衆国。
もうすこし詳しい位置を探ってみると…

カリフォルニア州カラバサスって街。
この手の調査ではよく出てくる街です。
ここに設置されたサーバーで詐欺サイトを営んでいるわけです。

ただ、リンク先ににせのログインページが用意されていると思いきや、接続してみると
何故だか本家のアマゾンのログインページが表示されました。
何の意味があったんでしょうか？
この先アマゾンにログインすると、何らかのロジックでアカウント情報を詐取されて
しまうんでしょうか？
私には分かりませんのでその先に進むのはやめておきました。

まとめ

最近は偽装せず、自身が取得しているドメインのメールから詐欺メールを送ってくる輩が
多く見られます。
こういった場合は、差出人のメールアドレスを一目見るだけで詐欺メールと判断することが
できますね。
でも、偽装しているものの方が圧倒的に多いので十分ご注意ください。