『詐欺メール』「【緊急お知らせ】Amazon異常ログインが見つかり」と、来た件

よその国の方から？

アマゾンを騙った、あまりにも中途半端でおかしな件名のメールが届きました。

その件名は
「[spam] 【緊急お知らせ】Amazon異常ログインが見つかり」
まず、”[spam]”が付けられているのでこのメールは悪意のあるジャンクメールです。
「緊急お知らせ」ってところ見ただけで感じません？　よその国の方だなと(笑)
それになぜ最後まで書かないのか。。。中途半端過ぎです。

差出人は
「”Amazon.co.jp” <info@Amazon.co.jp>」
”Amazon.co.jp”なんてそれらしいドメイン使ってますが、もちろん大嘘！
だいたい、ドメインに大文字なんて使わないしね(笑)

ではこの呆れたメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

果たしてこのIPアドレスは”Amazon.co.jp”とマッチングするんでしょうか？
するわけないけど、このIPアドレスを使って色々な情報を拾ってみましょう！

まず、リモートホストがそのままIPアドレスになっています。
本当に差出人のメールアドレスのドメインが”Amazon.co.jp”ならここに”Amazon.co.jp”と
表示されるはずです。
因みに”Amazon.co.jp”を逆引きすると、出てきたIPアドレスは”52.119.164.121”となるので
やはり差出人の”Received”にあったIPアドレスとは異なりますね。

そのIPアドレスが利用されている地域はシンガポールと出ましたので、この差出人が利用した
メールサーバーは、このシンガポールにあるようです。

なぜ”Аmazon”の”Ａ”だけ全角？

だいたいこのメール、本文の宛名が「 Аmazon お客様」となっています。
普段アマゾンをお使いの方はご理解できると思いますが、アマゾンからのメールにある宛名は
ユーザー登録時に入力したアカウント名で送られてくるはずです。
それに見てください下の図を、これはこのメールの本文をとあるエディタに貼付けてみた
図ですが、このエディタ全角文字だけ背景が赤くなる特殊なソフト。
よく見ると、このメールの”Аmazon”の”Ａ”だけ全角なんです。
これちょいちょいあるんですが、意味が分かりませんよね？

それに、宛名の後ろにHTML形式では見れなかった”[RECEIVER_ADDRESS]”なんて文字が
浮かび上がってきました。

私は、詐欺メールを調査する際必ずメールをテキスト表示に切り替えてみます。
すると時々HTML形式では見えなかったワードサラダや不思議な関数などが見えてくる
場合があります。
今回の”[RECEIVER_ADDRESS]”も関数のようで”レシーバーアドレス”と読みます。
意味は「受信者のアドレス」で、差出人はこの部分に受信者のそれを代入しようとしたけど
どうやら失敗してるようです。

本文の内容はよく見かけるもので、アカウント情報が更新できなかったからリンクを辿って
情報を更新しろと言うもの。
そのリンクは「Аmazon ログイン」と書かれたリンクボタンに設けられています。
そのURLがこちらです。

わざわざ”amazon”のスペルを“amazom“にする必要があるんでしょうか？(笑)

ここで使われている”amazom.rmusee.shop”ってドメイン、残念ながら申請登録者情報は
取得できませんでした。
でも、このドメインを使っているウェブサーバーのおおよその在りかは分かりました。

あくまでおおよそですが、アメリカニューヨーク州ジェネシー・モーゼルって街に
設置運営されているようです。

開くとこのようにアマゾンの偽のログイン画面が開きました。

いつも書きますが、サイトは全て著作権に守られています。
それをコピーすることは違反行為！
厳重に対応してほしいと思います。

まとめ

もう件名から見るからにでしたね(笑)
中途半端だし、日本語が間違ってるし、宛名が「 Аmazon お客様」だし
”Ａ”だけ全角だし(;^_^A
よくこれで騙そうとするわ…

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;