サイトアイコン HEARTLAND

『詐欺メール』「【Amazon】アカウント情報を確認してください」と、来た件

年末は迷惑メールも急増
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

アマゾンが中国ドメインでメールを?!

今日は週末の土曜。
週末いつもは少ない詐欺メールも年末が近づいたせいか今朝は活発で次から次へと処理に
追われています。
ブログエントリーを2つ書き終えた途端また次のメールが届きました。
そのメールがこちら。

アマゾンに成りすましたフィッシング詐欺メールです。
内容は「第三者不正利用」をほのめかす手口のメール。

件名は
「[spam] 【Amazon】アカウント情報を確認してください」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon.co.jp <support-amazon.jp@mtfu0ov.cn>」
まぁ確かにアカウント名に”support-amazon.jp”とAmazonらしきものもありますが、
使われているドメインは”.cn”なんて中国のもの。
これじゃ騙されたくてもね…って感じ。(笑)
それにしてもこのドメイン”mtfu0ov.cn”はほんとに使われているのもなのか?
サクッと調べてみますと、実際に使われているようです。
って言うか、この申請者のGmailアドレス、どこかで見たような…(;^_^A

それと、ここに書かれているIPアドレス”106.75.95.186”を覚えておいてください。


メールアドレスの偽装は無し

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<support-amazon.jp@mtfu0ov.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211113090131724113@mtfu0ov.cn>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail.mtfu0ov.cn (mtfu0ov.cn [106.75.95.186])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

Received”のIPアドレス、先程のドメイン調査のものと同じですね。
ということは、この差出人はメールアドレスを偽装せず自身の持つアドレスからメールを
送信てきたことになります。

では今度は、このIPアドレスを使ってその危険度と割り当て地を調べます。

割り当て地は「中国北京市」
そして、脅威レベルは「高」で、脅威の詳細は「メールでのサイバーアタックの攻撃元」
とされています。
とても危険な香りがプンプンしますね。


サイトのIPも危険度が高い!

続いて本文を見ていきます。

内容は「第三者不正利用」の疑いがあるので利用確認をしろとのこと。
言葉遣いなど特に不自然なところは感じませんが、「お客様の Amazon アカウント」って
ところから急に現れる読み難い「中華フォント」…(;^_^A
ここで信用が崩れ始め、そして「異常は更新待ちです」で一気に崩落。(笑)
だってこんな言葉使わないでしょ普通は…
でもって、最後の「Amazonクリック&ログイン」って書かれた黄色のボタンが詐欺サイト
へのリンク。
そのリンク先のURLがこちらです。

アマゾンらしい文字も見えていますが、このURlのドメインは末尾の2つのセグメント
cndwrr.cn”です。

もちろんこれも調べました。

持ち主は、日本ではあまり見かけない漢字3文字の氏名の方。
このドメインは「广州云讯信息科技有限公司」ってところに管理を委託されています。
割り当て元のIPアドレスは”155.94.133.166”
その割り当て地と危険度はどうなっているのでしょうか?

これによると、その割り当て地は「アメリカ・カリフォルニア州・ロサンジェルス」
で、危険度はメールアドレスと同じように脅威レベルが「高」で、脅威の詳細 は「Webに
よるサイバーアタックの攻撃元」とされています。
メールも危ないしURLもやばいってことで相当危険ですね。

とはいうものの、URLを開くといつものこの画面。

アマゾンの偽のログインページですね。
行ってもどうせ個人情報とカード情報の入力画面が出るだけなので深入りはいたしません!


まとめ

今回も差出人のメールアドレスにあるドメインは中国のものでしたので”[spam]”を
見るまでもなくそれと判断できましたね。
でも中には偽装してくるメールもあるので要注意です!
安易にリンクをクリックするのではなく、どんなことがあってもスマホアプリでログイン
するように心掛けましょう!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了