『詐欺メール』アマゾンから「払い戻しプロセス #25.253円」と、来た件

迷惑メール
この記事は約5分で読めます。

買ってもいないのに返金とは?
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

ドメインに大文字はあり得ません

なんか、アマゾンからこのようなおかしなメールが届きました。
もちろん詐欺メールですのでご注意ください。

「親愛なるユーザーの皆さん、こんにちは。」から始まるメール。
「親愛なる」なんて日本人は使いませんよね?
これ英語だと”dear”で英文のめーるを書く際の書き出しに使われる言葉。
なので、このメールは日本語に翻訳されたものと想像できます。

では、いつものようにメールのプロパティーから見ていきます。

まず件名。
「[spam] 払い戻しプロセス #25.253円」
“[spam]”は受信したうちのメールサーバーが危険を察知して付加したセキュリティー警告で
スパムスタンプと呼ばれるもの。
これが付いているメールには悪意があると判断されています。
「払い戻しプロセス #25.253円」とあります。
”#”の意味は不明ですが、どうやら何らかの理由で25,253円が払い戻されるようです。
普通、単位の区切りで用いられるのは”,”ですが、このメールの場合は”.”は使われているのに
”#”と相まって違和感を感じます。

差出人は
「REF#Amazon.co.jp <info@Amazon.co.jp>」
”REF”と”#”にはどのような意味があるのでしょうか?
Excelのエラー表示で”#REF”(リファレンス)ってのはよく遭遇しますが、これはや参照先
無効な場合に表示されるエラーです。
ここで書かれている”REF”は”reference”の略ではないかと思われます。
訳すと「参考」や「引用」を意味します。
なのでこの場合は「Amazon.co.jp」から参照とみるのが正解かと。
差出人のメールアドレスは”info@Amazon.co.jp”と書かれているのでアマゾンからかな?
と思ってしまいそうですが、メールアドレスに大文字を使うことはありませんので
このアドレスは怪しかないか?と「ピン!」と来てください。


 

では、このメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<parsehplan@cpadmin.gapyar.ir>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
でも、既にこのメールの差出人アドレスと異なっているので偽装発覚です。

Message-ID:「<E1mhV1b-0005RY-Rt@cpadmin.gapyar.ir>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from parsehplan by cpadmin.gapyar.ir with local (Exim 4.94.2)」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

どうやら、差出人の本当のメールアドレスは”parsehplan@cpadmin.gapyar.ir”っぽい。


中東イランからのメールだった!

では、ここで使われているドメイン”cpadmin.gapyar.ir”を使ってそのサーバーの位置情報
などを拾ってみましょう!

これがこのドメインの情報です。

持ち主は「イラン・ラザヴィー・ホラーサーン」に在住の方で、このドメインを割当てている
IPアドレスは”91.99.72.212”

では、このIPアドレスの割り当て地を調べてみます。

やはりこちらも「イラン」と特定されました。


詐欺サイトの旬は短し

そして本文。

親愛なるユーザーの皆さん、こんにちは。

注文番号#2668806キャンセル、

25,253円がアカウントに返金されますログインして返金を承認してください

またまた句読点のおかしなメールですね。(;^_^A

内容は、注文がキャンセルされたため25,253円返金されるのでリンクから手続きをしろ
といった感じ。
で、付けられているリンクのURLがこちらです。

使われているドメインが”volksbakegde.com
このドメインも持ち主と割り当て地を確認してみます。

持ち主はアイスランドのレイキャビク在住の方。
残念ながらIPアドレスへの割り当ては破棄されていて取得できませんでした。
なので当然詐欺サイトも接続できない状態となっていました。


まとめ

今回も、件名、差出人共に違和感があったので本文を見るまでなく詐欺メールと容易に
判断できるメールでした。
詐欺サイトの旬は短いもので、何らかの理由で既に閉鎖されていました。
ただ、いつ復活するか分かりませんので今後も注意が必要ですね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました