『詐欺メール』再度「Amazonプライムの自動更新設定を解除いたしました！」と、来た件

嫌と言うほど見てきた件名

この件名のメール、毎日と言って良いほど届き今までに何度かご紹介していますが
今回届いたものでちょっと気になる点があったので改めてご紹介させてください。

(見難いのでクリックし拡大してご覧ください)

このくだり、日本語おかしいでしょ？
まず真っ先に気になるのは「Аmazon お客様 」って宛名。
普通はこんな書き方しませんよね？
それによく見れば ”Ａ” だけ全角だし…(笑)

「親愛なるおいただいたお客様に」
何を「いただいた」のでしょうか？　さっぱり意味が分かりません…(汗)

そして「いつもお世话になっております」って漢字が変じゃん(笑)

このメールで一番気になるのはここじゃなくて他にあります。
それがここ。

最初は気付かなかったですが、ここに隠し文字でメールアドレスが書かれていました。
「test-etqp3ti2e@srv1.mail-tester.com」
この隠されたメールアドレスにはどのような意味があるのでしょうか？
私には分かりません…
このドメイン”srv1.mail-tester.com”について調べてみましたが、現在はどのＩＰアドレスにも
割り当てられていない休止中のドメインで、持ち主はフランスのIT企業でした。

やはり出てくるのは「C国」

では、メールのプロパティーから確認していきます。

件名は
「[spam] Amazonプライムの自動更新設定を解除いたしました！」
目が腐るほど見てきたこの件名(汗)
今回は、信憑性を高める目的と思われる通し番号がこの後ろに付けられています。
”[spam]”とスタンプが付けられているのでもちろん迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon.co.jp” <account-update@amazon.co.jp>」
”amazon.co.jp”はアマゾンの正規ドメインですが、”[spam]”が示すようにこのメールは
詐欺メールなのでアドレス偽装です。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

表示された地図は「中華人民共和国 河南省 ラク河市」
あくまでおおよそですが、ここに設置されているからあの見慣れた件名のメールを送って
きたのですね。

ドメイン「.xyz」にはくれぐれもご注意を！

ではメールの本文に目を移します。

全文を貼り付けてみました。
見事にすべての「Аmazon」の”Ａ”だけ全角でした(笑)
そして最後の行が中途半端に切れちゃっています…この後が気になるんですが…(笑)

この文章の中で「Аmazon ログイン」と書かれている所に詐欺サイトへのリンクが
付けられています。
そのリンク先のURLがこちらです。

使われているドメインは”amaonc.shgtr2er.xyz”
この”xyz”ってドメインは要注意です！
全部が全部と言うわけではありませんが、このドメインは格安で取得できるので
比較的簡単に使い捨てが可能。
そのため犯罪によく使われるドメインとして知られています。

では、このドメインはどのような人物の持ち物なのでしょうか？

「アメリカ・アリゾナ州・フェニックス」からの申請で、うちのサイトのご常連でした。(笑)

そして割当てているIPアドレス”155.94.133.225”を用いてその割り当て地と危険性調べると
このような結果となりました。

この地図は、おおよその位置ですがこれによると、アメリカのロスアンゼルスが表示さてれて
います。
そしてこのIPアドレスの危険性は「高」。
攻撃対象は「ウェブでのサイバーアタックの攻撃元」とされていますのでとても危険な香りが
します。(汗)

その危険とされるリンク先は、アマゾンの偽サイトでした。

まとめ

まあこのようなおかしなメールは誰も騙せやしないとは思いますが、詐欺サイトの危険度も
高そうなので一応要注意といった感じでしょうか。
アマゾンからでメールドメインもアマゾンのものだと言って安心しない事！
詐欺メールには偽装はつきものなのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;