『詐欺メール』「amazon.co.jp: アクションが必要です: アカウントデータアクセスの試行」と、来た件

本件は少々長くなりますが…(;^_^A

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. なぜ不正利用の報告が現在進行形なの？
2. 中国ドメインでアマゾンがメールを？！
3. はるばるカンザス州から
4. 別の二段階認証通知で偽装？？
5. 偽サイトのIPは脅威レベルが「高」！
6. まとめ

なぜ不正利用の報告が現在進行形なの？

またアマゾンを騙ってフィッシング詐欺を行おうとする新手のメールが到着しました。

このメールもあからさまに”.cn”なんて中国ドメインを使ったアドレスです。
アマゾンが中国のドメインでユーザーにメールなんて送るはずないのにね。(笑)
それに、宛名がメールアドレスの@より前の部分を使って書かれているので
余計に疑わしいです。

本文には「アカウントデータアクセスの試行」などと意味不敬なカタカナが書かれていて
例によって「第三者不正利用」の警告となっています。

誰かがあなたのアカウントデータにアクセスしようとしています。

「しようとしています」？？　何故に現在進行形？
「アクセスがありました」みたいに過去形なら分からなくもないですが、現在進行形だと
一気に信憑性が疑われてしまいますね。

中国ドメインでアマゾンがメールを？！

件名は
「[spam] amazon.co.jp: アクションが必要です: アカウントデータアクセスの試行」
”[spam]”が示すようにこのメールは迷惑メールの類。
この表示は、サーバーの迷惑メールフィルターに引っかかったため付けられた注意喚起の
警告スタンプです。

差出人は
「”no-reply@amazon.co.jp” <support-amazon.jp@97605.cn>」
まず、日本のアマゾンが使うドメインは”amazom.co.jp”です。
それにドメイン部分は”@”より前ではなくその後ろ。
でもこのメールにはその部分に”97605.cn”なんて数字を使った怪しい中国ドメインが
使われています。

では、このメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<support-amazon.jp@97605.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211112125640781885@97605.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail.97605.cn (97605.cn [173.82.114.194])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

はるばるカンザス州から

まず、このドメイン”97605.cn”を調べてみましょう。

結果はこちら。

「Sponsoring Registrar: 阿里巴巴云计算（北京）有限公司」
とあるので、このドメインは中国企業のアリババに管理が委託されています。
持ち主は、漢字2文字の氏名。
当然中国の方でしょう。

割当ててるIPアドレスは”173.82.114.194”
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

特定された場所は「アメリカ合衆国カンザス州チーニー」
地図は湖の中になっていますが、もちろんこれはおおよその位置にすぎません。
このような場所に設置されたメールサーバーを介してメールを配信しているんですね。

別の二段階認証通知で偽装？？

本文に目を移してみます。

誰かがあなたのアカウントデータにアクセスしようとしています。

日時: Nov 12, 2021 12:56:40Japan Standard Time
デバイス: Google Chrome Windows (デスクトップ)
付近: Aichi

アクセス時刻とデバイス、アクセス地域が書かれていますが、これはメールの信憑性を
高めるために書かれているもので当然全てでたらめ。

それにこのメールには、更に信憑性を高めるためにこのようなことが書かれています。

なこれって本物のアマゾンからの2段階認証メールの抜粋のようですが…

記載されているURLは確かに正規アマゾンのドメインを使ったものです。
リンクに接続してみるとこのような画面が表示されました。

「詳細を表示します」と書かれた部分に更にリンクがあるので開いてみます。

ん？10月07日？？　今日って11月12日ですよね？
それに「Tokyo, Japan」と書かれています。
あれれ？確か本文には「Aichi」と書かれていたはず。
これは、別の二段階認証で使われた通知のURLですね！
まあ手の込んだ事をされてますこと…(;^_^A

偽サイトのIPは脅威レベルが「高」！

本文の「承認または否認してください。」と書かれている部分に詐欺サイトへのリンクが
付けられています。
そのリンク先のURLがこちらです。

使われているドメインは、アマゾンには似ても似つかない”helpccapsheppay.online”
このドメインの情報はこんな感じ。

持ち主の情報は、このサイトではよくお目に掛るご常連。
「アメリカ・アリゾナ州・フェニックス」にご在住。

このドメインを割当てているIPアドレスは” 104.129.12.191”
このIPアドレスの危険度と割り当て地も調べておきました。

脅威レベルは「高」で脅威の詳細は「サイバーアタックの攻撃元」で攻撃対象は「Web」
と出ていますので相当危険なようです。

このIPアドレスの割り当て地は「アメリカ・カリフォルニア州・ロサンゼルス」
これもおおよその位置ですが…

アクセスしてみると、脅威のレベルが「高」と出た通りセキュリティー企業では周知されて
いるようで、すぐさまウイルスバスターにブロックされてしまいました。(;^_^A

安全ではないのを承知し先に進んでみると、その先は例によってアマゾンのログインページを
模した完コピ偽サイトでした。

まとめ

ちょっと情報が多すぎて長くなってしまいました…(^-^;
内容は結構斬新で騙されやすい感じでしたが、実は見破るポイントはたくさんあるメール
でしたね。
逆に危険度が高いためセキュリティー企業では既に周知されており、しっかり遮断され
丸腰でなければそれほど心配することはないでしょう。
そこのあなた、セキュリティーはWindows標準で大丈夫なんて言ってると、そのうち
吠えずらかきますよ！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)