アマゾンが中国ドメインでメールを?!今日は週末の土曜。 週末いつもは少ない詐欺メールも年末が近づいたせいか今朝は活発で次から次へと処理に 追われています。 ブログエントリーを2つ書き終えた途端また次のメールが届きました。 そのメールがこちら。 アマゾンに成りすましたフィッシング詐欺メールです。 内容は「第三者不正利用」をほのめかす手口のメール。 件名は 「[spam] 【Amazon】アカウント情報を確認してください」 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「Amazon.co.jp <support-amazon.jp@mtfu0ov.cn>」 まぁ確かにアカウント名に”support-amazon.jp”とAmazonらしきものもありますが、 使われているドメインは”.cn”なんて中国のもの。 これじゃ騙されたくてもね…って感じ。(笑) それにしてもこのドメイン”mtfu0ov.cn”はほんとに使われているのもなのか? サクッと調べてみますと、実際に使われているようです。 って言うか、この申請者のGmailアドレス、どこかで見たような…(;^_^A それと、ここに書かれているIPアドレス”106.75.95.186”を覚えておいてください。
メールアドレスの偽装は無しでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<support-amazon.jp@mtfu0ov.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211113090131724113@mtfu0ov.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mail.mtfu0ov.cn (mtfu0ov.cn [106.75.95.186])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Received”のIPアドレス、先程のドメイン調査のものと同じですね。 ということは、この差出人はメールアドレスを偽装せず自身の持つアドレスからメールを 送信てきたことになります。 では今度は、このIPアドレスを使ってその危険度と割り当て地を調べます。 割り当て地は「中国北京市」 そして、脅威レベルは「高」で、脅威の詳細は「メールでのサイバーアタックの攻撃元」 とされています。 とても危険な香りがプンプンしますね。
サイトのIPも危険度が高い!続いて本文を見ていきます。 内容は「第三者不正利用」の疑いがあるので利用確認をしろとのこと。 言葉遣いなど特に不自然なところは感じませんが、「お客様の Amazon アカウント」って ところから急に現れる読み難い「中華フォント」…(;^_^A ここで信用が崩れ始め、そして「異常は更新待ちです」で一気に崩落。(笑) だってこんな言葉使わないでしょ普通は… でもって、最後の「Amazonクリック&ログイン」って書かれた黄色のボタンが詐欺サイト へのリンク。 そのリンク先のURLがこちらです。 アマゾンらしい文字も見えていますが、このURlのドメインは末尾の2つのセグメント ”cndwrr.cn”です。 もちろんこれも調べました。 持ち主は、日本ではあまり見かけない漢字3文字の氏名の方。 このドメインは「广州云讯信息科技有限公司」ってところに管理を委託されています。 割り当て元のIPアドレスは”155.94.133.166” その割り当て地と危険度はどうなっているのでしょうか? これによると、その割り当て地は「アメリカ・カリフォルニア州・ロサンジェルス」 で、危険度はメールアドレスと同じように脅威レベルが「高」で、脅威の詳細 は「Webに よるサイバーアタックの攻撃元」とされています。 メールも危ないしURLもやばいってことで相当危険ですね。 とはいうものの、URLを開くといつものこの画面。 アマゾンの偽のログインページですね。 行ってもどうせ個人情報とカード情報の入力画面が出るだけなので深入りはいたしません!
まとめ今回も差出人のメールアドレスにあるドメインは中国のものでしたので”[spam]”を 見るまでもなくそれと判断できましたね。 でも中には偽装してくるメールもあるので要注意です! 安易にリンクをクリックするのではなく、どんなことがあってもスマホアプリでログイン するように心掛けましょう! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |