『詐欺メール』「Amazonプライムの自動更新設定を解除いたしました！」を久々に！

2021年9月15日

相変わらずカタコトで…

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

明らかなメールアドレス偽装

このメール、毎日と言っていいほどほんと多く届きますね。
最初に書いときますが、このメールは悪意のあるフィッシング詐欺メールです！
だいたい、ECサイトのメールで件名にビックリマークついてるの全部ジャンクですから！

以前に何度か紹介しているメールですが、エントリーがずいぶん前ですので改めて
ご紹介させていただきます。

件名が
「[spam] Amazonプライムの自動更新設定を解除いたしました！番号：981390273244」
受信サーバーによって”[spam]”と付けられてるんで、悪意のあるメールです。
末尾の番号は、信憑性を持たせるためのものと推測されます。

差出人は
「Amazon.co.jp <fuwu@lc2be.cn>」
はい、ご常連の中国ドメインです(笑)
でもこの”lc2be.cn”ってドメインもウソかも知れませんよ！

確かに中国で使われているドメインですね。

では、このメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<fuwu@lc2be.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<9164299BE919EF6DD362DB1FCCDB84B1@baidu.com>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received:「from lc2be.cn (unknown [116.85.12.67])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

”Message-ID”に”baidu.com”って書かれています。
これ、中国の検索サイトのドメインですから差出人のドメインとは全く異なります！
ってことは、この時点で偽装バレバレ(笑)

では次に、”Received”に出てる”116.85.12.67”ってIPアドレスを使って、そのサーバーの
位置情報を拾ってみましょう！

ドメインとかかれた部分にもIPアドレスが記載されているということは、このIPアドレスには
ドメインが割当てられてないことを表すので、この結果から見ても差出人の使っている
”lc2be.cn”ドメインとは合致しませんので偽装と断定されます。

”Ａmazon”の”Ａ”だけ全角

続きまして本文。

Аmazon お客様

Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。

今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由で
カードの情報を更新できませんでした。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon
アカウントの情報を確認する必要があります。下からアカウントをログインし、情報を
更新してください。

見易いように適当な箇所で改行しました。
よく見てください、”Ａmazon”の”Ａ”だけ全角なんです。
分かりにくいので全角だけ赤く表示されるエディタに貼り付けてみます。

ほらね、アマゾンを騙ったフィッシング詐欺メールにはよくあるんですが、理由は不明。
相変わらず片言の日本語ですね(笑)

煽った上で誘導するのが「会員情報の管理ページ」と書かれている黄色いリンクボタン。
どんなURLにリンクしているんでしょうか？
それがこちらです。

”.ga”は、中央アフリカの大西洋沿岸にある国ガボン共和国に割り当てられたドメインです。
きっと格安で取得できるんでしょうね。

では次に、このドメインについて調べます。

このドメインは”107.179.33.11”ってIPアドレスに割当てられているようです。
このIPアドレスから推測される位置はアメリカロスアンゼルス。

何度もブロックされるた閲覧禁止サイト

では、リンク先を辿ってみます。

リンクされているURLは"https"からではなく”http”から始まるもので暗号化されていません。
よってブラウザにはこのように警告が表示されます。

端から疑ってますが、ECサイトがセキュリティーの甘い"http"から始まるウェイトを作る
はずがありません！
エッジでつなぐとこのような警告表示も！

それでも無視して繋ぎに行くと…

Cisco Umbrellaにブロックされました。
よほど危険なのでしょうか？

Firefoxでつないでみると、同じように何度か警告されたのちこのように表示されました。

”Forbidden”ですからこのサイトは、何らかの理由で閲覧禁止になっている状態です。
これだけ何度もブロックされたんで、当局によって恐らく抑えられたのでしょうね。

まとめ

度々送られてくるこの「Amazonプライムの自動更新設定を解除いたしました」と言うメール。
久しぶりに確認してみると、また違ったことが分かるものですね。
それにしても相変わらず中国絡みが多いのは気のせいですかね？

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)