『詐欺メール』アマゾンから「払い戻しプロセス ＃25.253円」と、来た件

ドメインに大文字はあり得ません

なんか、アマゾンからこのようなおかしなメールが届きました。
もちろん詐欺メールですのでご注意ください。

「親愛なるユーザーの皆さん、こんにちは。」から始まるメール。
「親愛なる」なんて日本人は使いませんよね？
これ英語だと”dear”で英文のめーるを書く際の書き出しに使われる言葉。
なので、このメールは日本語に翻訳されたものと想像できます。

では、いつものようにメールのプロパティーから見ていきます。

まず件名。
「[spam] 払い戻しプロセス ＃25.253円」
“[spam]”は受信したうちのメールサーバーが危険を察知して付加したセキュリティー警告で
スパムスタンプと呼ばれるもの。
これが付いているメールには悪意があると判断されています。
「払い戻しプロセス ＃25.253円」とあります。
”＃”の意味は不明ですが、どうやら何らかの理由で25,253円が払い戻されるようです。
普通、単位の区切りで用いられるのは”,”ですが、このメールの場合は”.”は使われているのに
”＃”と相まって違和感を感じます。

差出人は
「REF#Amazon.co.jp <info@Amazon.co.jp>」
”REF”と”＃”にはどのような意味があるのでしょうか？
Excelのエラー表示で”#REF”(リファレンス)ってのはよく遭遇しますが、これはや参照先
無効な場合に表示されるエラーです。
ここで書かれている”REF”は”reference”の略ではないかと思われます。
訳すと「参考」や「引用」を意味します。
なのでこの場合は「Amazon.co.jp」から参照とみるのが正解かと。
差出人のメールアドレスは”info@Amazon.co.jp”と書かれているのでアマゾンからかな？
と思ってしまいそうですが、メールアドレスに大文字を使うことはありませんので
このアドレスは怪しかないか？と「ピン！」と来てください。

では、このメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

どうやら、差出人の本当のメールアドレスは”parsehplan@cpadmin.gapyar.ir”っぽい。

中東イランからのメールだった！

では、ここで使われているドメイン”cpadmin.gapyar.ir”を使ってそのサーバーの位置情報
などを拾ってみましょう！

これがこのドメインの情報です。

持ち主は「イラン・ラザヴィー・ホラーサーン」に在住の方で、このドメインを割当てている
IPアドレスは”91.99.72.212”

では、このIPアドレスの割り当て地を調べてみます。

やはりこちらも「イラン」と特定されました。

詐欺サイトの旬は短し

そして本文。

またまた句読点のおかしなメールですね。(;^_^A

内容は、注文がキャンセルされたため25,253円返金されるのでリンクから手続きをしろ
といった感じ。
で、付けられているリンクのURLがこちらです。

使われているドメインが”volksbakegde.com”
このドメインも持ち主と割り当て地を確認してみます。

持ち主はアイスランドのレイキャビク在住の方。
残念ながらIPアドレスへの割り当ては破棄されていて取得できませんでした。
なので当然詐欺サイトも接続できない状態となっていました。

まとめ

今回も、件名、差出人共に違和感があったので本文を見るまでなく詐欺メールと容易に
判断できるメールでした。
詐欺サイトの旬は短いもので、何らかの理由で既に閉鎖されていました。
ただ、いつ復活するか分かりませんので今後も注意が必要ですね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;