「ら!」で終わられると怒られてるような錯覚これ、昨日ご報告しなきゃいけなかったんですが、仕事がバタついたので1日繰り越して しまいました。(汗) 詐欺メールは、鮮度が大事なのに申し訳けない…(;^_^A 
昨日は忙しくて件名しか見てませんでしたが、今朝改めて見てみると、これって、詐欺メール と言うかダメ元のチャレンジと言うか、それとも愉快犯なのか…もうひどすぎます! 差出人のメールアドレスはおかしいし、件名も”ら!”で終わってるし、本文も酷い片言だし。 ではプロパティーから見ていきましょう。 件名は 「[spam] Amazon注文番号:503-5615252-3365425(1点)カート内の商品に関する重要なお知ら!」 先頭の”[spam]”は、うちのサーバーが付加した注意喚起で、このメールがスパムだよと 教えてくれています。 注文番号は、信憑性を高めるためのものでもちろん嘘です。 それにしても「お知ら!」で終わってしまっては、せっかく注文番号も水の泡ですね(笑) それにしても「ら!」で終わられると、怒られているような錯覚に陥ります… 差出人は 「Amazon.co.jp <amazon.co.jp@qingjun1984.cn>」 なんですかこの”qingjun1984.cn”なんてドメインは… 確かにアカウント名は”amazon.co.jp”ですが、こんな数字の入った意味の分からない ドメインじゃ誰も騙せませんよ。(笑) ではこのメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amazon.co.jp@qingjun1984.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211012163512354682@qingjun1984.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mail.qingjun1984.cn (unknown [113.31.155.86])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! 
ソースの”Received”に書かれてた”113.31.155.86”ってIPアドレスは”qingjun1984.cn”と 合致したので、この差出人のメールアドレスに偽装は無かったことが分かります。 ということは、大胆にもこの差出人は、アマゾンに全く関係の無い自身のメールアドレスを 使ってこのような詐欺メールを送ってきたことになります。 そしてこのドメインの持ち主は、日本ではあまり見かけない漢字2文字の氏名で 割り当て先は中国と出ています。
何書いてるんだかさっぱり(汗)では、楽しみな本文です♪ Amazonお客様: 5分の前であなたのアカウントを盗み取って商品を買うためにアマゾンのアカウントを 登録するのを企む人がいます。 アカウントが盗まれるのを防止するため、できるだけ早くアカウントがあなたの本人の 登録が暗証番号を変更するのを確認します。 もしもあなたは24時間以内の確認する話でたいへん申しわけなく思うことはできません。 財産の損害を受ける情況 このアカウントの使用を制限してください。事前に理解してください。 そのため、取引先のアカウントを守るため、必要がありamazonアカウントの管理情報を 確認します。情報を更新するため、以下から登録してください。 ログインをかくにん確認する。Amazon.co.jp |
読み始めるとすぐに眉間にしわが寄ってしまいます(笑) まず、冒頭の「Amazonお客様」ってくだり。 普通ならアマゾンに登録した際の氏名が書かれるはず。 差出人は、こちらの情報をメールアドレスしか知らないのですからこうなりますわね。 これ、詐欺メールの特徴です。 そして、「5分の前で」かが始まる本文。 低能な翻訳機で翻訳されたんでしょうか、初っ端から意味不明の言葉から始まり、 最後まで終始「眉間にしわ」状態(;^_^A で、最後に「ログインをかくにん確認する。」… もう、笑わかそうとしてるとしか思えません。。。(汗) その下にある「確認用アカウント」と書かれている部分に、詐欺サイトへのリンクが 付けられています。 リンク先のURLはこちらです。 
またしても中国ドメインのURLです。 サブドメインが”anonzon”って、サブドメインなんだから”amazon”にしとけば 良かったのに(笑) では、この”anonzon.nnnww.cn”ってドメインの持ち主と所在を調べてみます。 
メールドメインと持ち主は同じ日本ではあまり見かけない漢字2文字の氏名の方。 割り当て地はアメリカとだけ書かれていますが、他のサイトでもう少し詳しく調べると… 
「アメリカ・テキサス州・ヒューストン」と表示されました。 この地でされている偽サイトは、アマゾンの登録情報を抜き取るためにだけを目的で 構築されたコピーサイト。 
まとめいやぁ~ 久しぶりに思わず笑えてしまう詐欺メールでしたね。 注意喚起するまでもなく日本人を誰一人騙せないでしょう(笑) こういうメールを集めてみるのも面白いかもしれませんね…( ;∀;) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |