サイトアイコン HEARTLAND

『詐欺メール』「ご利用の Amazon アカウントを一時保留いたしました」と、来た件

あと1つエントリーすると600件目
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
 

アマゾンが中国のドメインで?!

ちょっと、このエントリーのURL見てください。

末尾の”599”はスパムメールを扱ったエントリーの数。
今回のが599件目と言うことは、次のエントリーでついに600件目となります。
内容が内容なんであまり喜ばしいことじゃありませんが…(^-^;

で、その599回目のエントリーでご紹介するのがこちらのメール。

これは、アマゾンに成りすましたフィッシング詐欺メールです。

では、メールのプロパティーから見ていきます。

件名は
「[spam] ご利用の Amazon アカウントを一時保留いたしました」
“[spam]”が付いているので一目でそれと分かりますよね?
これはうちが契約しているメールサーバーに設けられたスパムフィルターってセキュリティが
反応し付加された注意喚起で、これがあるものは全て悪意のあるメールです。

差出人は
「”Amazon.co.jp” <support-amazon.jp@j04im8.cn>」
出ました、中国ドメイン。
“Amazon.co.jp”を名乗っておきながらの中国ドメイン…
日本のアマゾンが中国ドメインを使ってメールを送ることは絶対にありませんから!


ロスアンゼルスからのメールだった

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<support-amazon.jp@j04im8.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<8969AE6CBA9E71073312DE0D0B05B5C9@SjV.uykgx>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入りますが
見てください、メールのドメインとは全く異なる”SjV.uykgx”なんてのが
されていますからとてもきな臭いですね。

Received:「from mail.j04im8.cn (j04im8.cn [173.82.206.169])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

IPアドレスとメールアドレスのドメインは一致しました。
この結果差出人は、メールアドレスを偽装することなく平気で自身の持つメールアドレスで
このメールを送り付けていることが判明しました。
このドメインの持ち主は、氏名の漢字からするとおそらく中国人で、アリババにドメイン管理
を委託しているようです。

そしてそのIPアドレスが利用されている地域は、アメリカ・ロスアンゼルス郊外。
あくまでおおよその位置情報ですが、差出人は、ここに設置されたメールサーバーを起点に
メールを配信したようです。


アマコン??

では、本文を見ていきます。

平素は Amazon.co.jp をご利用いただき、誠にありがとうございます。

ご利用の Amazon アカウントで異常な活動が検出されたため、アカウントを一時保留にし、
保留中のご注文やサブスクリプションをキャンセルいたしました。

アカウントへのアクセスを再開するには、サインインして画面の指示に従ってください。
必要な情報をご提供いただいたら、当サイトで調査の上、24 時間以内に返信いたします。

本件についてご迷惑をおかけしましたことをお詫び申し上げます。

出品用アカウントをお持ちの場合は、ご利用になれませんのでご注意ください。
FBA 在庫や注文への対応など、出品用アカウントに関するご質問がある場合は、
テクニカルサポートにお問い合わせください。

こういったメールでよく見かけるのですが、「異常な活動」って何なんでしょうか?
素直に不正利用としておけばいいのに…
このように日頃我々が使わないような書き方をすると余計に怪しまれると思うのですが(汗)

この本文の下にある「確認用アカウント」と書かれたボタン。
これもおかしな表現ですよね。
アカウントを確認するんだから「アカウント確認」とすれば良かったものの、これだと
確認用のアカウントを使ってログインするのかと思っちゃいます(笑)

この「確認用アカウント」と書かれたボタンに実際に詐欺を実行する詐欺サイトへのリンク
が付けられています。
そのリンク先のURLがこちら。

間違えちゃいけませんよ。
このURLのドメインは”amacon.co.jp”じゃなくて”playyounutm.shop
それによく見りゃ「amacon」…アマン??
このドメイン、調べましたが既に処分されたようです。

残念ですが、サイトも当然閉鎖されていましたので今回の調査はこれで終了です。


まとめ

このメールの送信日時はメールのソースに「Tue, 19 Oct 2021 04:34:40」と記載されて
いるので、日本時間の今朝4時34分。
現在の時刻が午前9時過ぎ。
本当に詐欺サイトの旬は短いものですね。

さて、次回600回目はどのようなメールになるのでしょうか?
もう既にそのメールは私のところに届いています…(^-^;

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了