『詐欺メール』アマゾンから「アカウントが停止されました。」と、来た件

迷惑メール
記事内に広告が含まれています。

※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
 

アマゾンの正規ドメインは”amazon.co.jp”です

マジで週明けのメールチェック時の詐欺メールの多さが怖いです(汗)
今朝はこの話題から。

これはアマゾンを騙り支払いでのカードが使えなかったと偽ってアマゾンのログイン情報や
その他個人情報とクレジットカードの情報を盗み取ろうとする詐欺メールです。

件名は
「アカウントが停止されました。」
珍しくいつもあるスパムスタンプが付いていませんね。
本来なら”[spam]”とスタンプが付けられているはずなのですが。。。

差出人は
「”Amazon.co.jp” <amazon24@amazonjpsecurity3.com>」
アマゾンの正規ドメインは”amazon.co.jp”で”amazonjpsecurity3.com”ではありません。
したがってこのメールは詐欺メールだと断定できます。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amazon24@amazonjpsecurity3.com>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<2fee543a4321bcd35960e8891d5c4fa60f7a1766fd33e00f48c33231154110b7@mx.google.com>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
あらら、「google.com」なんて見ええてきちゃいましたね…(笑)

Received:「from mail-pj1-f45.google.com (mail-pj1-f45.google.com [209.85.216.45])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの情報を拾ってみましょう!

やはり「google.com」と出ていますね。
ということは、このメールの差出人はGoogleの個人向けレンタルサーバーのユーザーで
あることが想像できます。


詐欺サイトのプロバイダーはアマゾン?!

では本文を見ていきます。

下記注文のお支払いにご指定いただいたカードの利用承認が得られなかったことを
お知らせいたします。

再度問題が発生した場合は、その旨をEメールでお知らせいたします。

なお、1日以内に変更または修正いただけなかった場合は、誠に勝手ながら、
アカウントを閉鎖します。

下記ボタンをクリックすると、このご注文のお支払い方法を変更できます。

お支払い方法を変更

お支払い方法の変更について詳しくは、ヘルプページをご確認ください。

またのご利用をお待ちしております。

Amazon.co.jp

このメールの冒頭に「下記注文」と書かれていますが、その下記注文が見当たらないのは
書き忘れでしょうか?(笑)
それに「再度問題が発生した場合は、その旨をEメールでお知らせいたします。」って
書いてありますが「今回は良いの?」と思っちゃったら次の行で「なお、1日以内に変更
または修正いただけなかった場合は、誠に勝手ながら、アカウントを閉鎖します。」
って結局ダメなんじゃん…

ま、そんなのは奴らには関係ないのです。
だってこのメールの大事な目的は、その次にあるリンクを押させることなので。
そのリンクは、赤字にした部分に付けられています。
リンク先のURLがこちら。

ここで使われているドメインは「qrs.ly
余り見かけない”.ly”は北アフリカにある「リビア」のトップレベルドメインです。
持ち主と割当てているIPを確認してみます。

「Country: IM」とあるので持ち主は、イングランド島とアイルランド島に挟まれたマン島の
首都「ダグラス」にお住まいの方。
取得は2010年ですから長く使われてきているドメインだと分かります。
割当てているIPアドレスは”99.84.133.46”
このIPアドレスの位置情報を拾ってみると。

東京都千代田区。
利用しているプロバイダーは「Amazon」
アマゾンってほんといろんなことしているんですね、プロバイダーまでしているとは。
ということでこのリンク先のサイトはアマゾンのサーバーで運営されているようです。

試しにサイトを開いてみましたが「This QR Code is no longer available.」と表示されて
いるだけで他には何も書かれていません。
訳してみると意味は「このQRコードはご利用いただけなくなりました。」
画面を一番下までスクロールしてみると「Powered By QRStuff.com」とありました。
どうやらこのサイトは「QRStuff.com」ってところで作ったQRコードが表示されていた
ようですが何らかの理由で使えなくなった模様。
きっと当局にでも察知されたんでトンズラしたのでしょう。


まとめ

まず真っ先に見てほしいのは差出人のメールアドレス。
今回もアマゾンの正規ドメインではないメールアドレスを使っていましたよね。
詐欺メールの7割はこうやって正規と異なるアドレスでメールを送ってきますので
まずはここに注目してメールを見てください。
では、お気をつけて。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました