普通に中国ドメイン…(汗)久しぶりにアマゾンを騙ったフィッシング詐欺メールをご紹介しようと思います。 そのメールがこちら。 件名は 「[spam] 【重要】お客様 Amazonプライムのお支払の問題に関するお知らせ」 ”[spam]”は付加されているのでこのメールは悪意のあるもの。 これは、スパムスタンプと呼ばれるサーバーからの注意喚起です。 差出人は 「Amazon Prime <support-amazon.jp@etkytht.cn>」 もう最近は普通に”.cn”なんて中国ドメインで送ってきますね。 アマゾンが中国のドメインで日本のユーザーにメールを送るなんてあり得ないのに…(笑) 因みにドメイン”etkytht.cn”に割当てられているIPアドレスはこんな数字です。 この数字、後で出てくるので覚えておいてくださいね。
ロシアから愛を込めてでは、いつものようにこのメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<support-amazon.jp@etkytht.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211109222522168706@etkytht.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mail.etkytht.cn (unknown [45.156.21.72])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 さてこの数字、どこかで見ましたよね? そう、メールアドレスにあったドメイン”etkytht.cn”に割当ててた数字と 全く同じもの。 ということは、この差出人は偽装することなく自身が持つメールアドレスで このメールを送ってきたことになります。 中国のドメインで普通にアマゾンを騙るんですね、どんな神経?…(;^_^A |
では、このドメインとIPアドレスを使いその持ち主やサーバーの位置情報などを 拾ってみましょう! まずは持ち主から。 当然と言えば当然なんでしょうが、持ち主は日本ではあまり見かけない難しい漢字三文字の 氏名。 ドメインの申請はGmailが使われてて管理委託は、中国のアリババ。 では次に、ドメインを割当ててるIPアドレス”45.156.21.72”を使って利用地を確認します。 メールの発信元となるサーバーの位置は「ロシア・モスクワ ライオン・コニコヴォ」と 表示されました。 これはあくまでおおよその位置で、差出人の位置ではなく利用されたサーバーの位置情報。
「amazon.co.jp」じゃなくて「amozon.co.ip」では、本文に目を移します。 お客様のお支払い方法が承認されません。 お客様 Amazonプライムをご利用いただきありがとうございます。 Amazonプライム会費のお支払いにご指定いただいたお客様のお支払い方法が 承認されないため、Amazonプライムの会費(税込500円)を請求することが できませんでした。 現在、Amazonプライム会員の特典はご利用いただけません。 1日以内に、アマゾンからの請求へのお支払いが確認できない限り、 お客様のAmazonプライム資格はキャンセルされます。 他の有効な支払方法への更新・追加をされたい場合は、 以下の手順に従ってお支方法を更新してください。 |
適当に改行してあります。 要はAmazonプライム会費の支払が上手く行われなかったので支払方法を確認しろと。 1日以内に確認できないと会員をはく奪するって内容。 1日以内ってあまりにもせっかちすぎ…(笑) まぁ、そんなのは慌てさせてリンクを押させる口実です。 そのリンクは「確認ページへ」と書かれた黄色のボタンに付けられています。 そのリンク先のURLがこちらです。 よく見ると「amazon.co.jp」じゃなくて「amozon.co.ip」 おちょくってますよね。(笑) それにこのURLのドメイン部分は”amozon.co.ip”ではなくて”hzfx888.com.cn” このドメインも持ち主と位置情報を確認してみようとあちらこちらで検索したのですが なかなか結果が出ず、何とか1か所だけ割り当ててえるIPを見つけ出すことができました。 これがその結果です。 これによると、このドメインを割当ててるIPアドレスは”204.44.75.89” では、このIPが使われている場所を確認してみましょう。 この結果から使われている場所は「アメリカ・カリフォルニア州・ロスアンゼルス」と 出ています。 もちろんあくまでおおよその位置ですが、この地に設置されているサーバーで詐欺サイトが 運営されています。 そのサイトは、アマゾンの偽サイトです。
まとめ困ったものですが、減るどころか増えている気がする詐欺メール。 ほんと当たり前のように中国のドメインで送ってきますね。 そして詐欺サイトは、アメリカってパターンが最近のトレンドになりつつあります(;^_^A どちらにしても怪しいメールには十分ご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |