アマゾンの正規ドメインは”amazon.co.jp”ですマジで週明けのメールチェック時の詐欺メールの多さが怖いです(汗) 今朝はこの話題から。 これはアマゾンを騙り支払いでのカードが使えなかったと偽ってアマゾンのログイン情報や その他個人情報とクレジットカードの情報を盗み取ろうとする詐欺メールです。 件名は 「アカウントが停止されました。」 珍しくいつもあるスパムスタンプが付いていませんね。 本来なら”[spam]”とスタンプが付けられているはずなのですが。。。 差出人は 「”Amazon.co.jp” <amazon24@amazonjpsecurity3.com>」 アマゾンの正規ドメインは”amazon.co.jp”で”amazonjpsecurity3.com”ではありません。 したがってこのメールは詐欺メールだと断定できます。 では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amazon24@amazonjpsecurity3.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<2fee543a4321bcd35960e8891d5c4fa60f7a1766fd33e00f48c33231154110b7@mx.google.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 あらら、「google.com」なんて見ええてきちゃいましたね…(笑) | Received:「from mail-pj1-f45.google.com (mail-pj1-f45.google.com [209.85.216.45])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの情報を拾ってみましょう! やはり「google.com」と出ていますね。 ということは、このメールの差出人はGoogleの個人向けレンタルサーバーのユーザーで あることが想像できます。
詐欺サイトのプロバイダーはアマゾン?!では本文を見ていきます。 下記注文のお支払いにご指定いただいたカードの利用承認が得られなかったことを お知らせいたします。再度問題が発生した場合は、その旨をEメールでお知らせいたします。 なお、1日以内に変更または修正いただけなかった場合は、誠に勝手ながら、 アカウントを閉鎖します。 下記ボタンをクリックすると、このご注文のお支払い方法を変更できます。 お支払い方法を変更 お支払い方法の変更について詳しくは、ヘルプページをご確認ください。 またのご利用をお待ちしております。 Amazon.co.jp |
このメールの冒頭に「下記注文」と書かれていますが、その下記注文が見当たらないのは 書き忘れでしょうか?(笑) それに「再度問題が発生した場合は、その旨をEメールでお知らせいたします。」って 書いてありますが「今回は良いの?」と思っちゃったら次の行で「なお、1日以内に変更 または修正いただけなかった場合は、誠に勝手ながら、アカウントを閉鎖します。」 って結局ダメなんじゃん… ま、そんなのは奴らには関係ないのです。 だってこのメールの大事な目的は、その次にあるリンクを押させることなので。 そのリンクは、赤字にした部分に付けられています。 リンク先のURLがこちら。 ここで使われているドメインは「qrs.ly」 余り見かけない”.ly”は北アフリカにある「リビア」のトップレベルドメインです。 持ち主と割当てているIPを確認してみます。 「Country: IM」とあるので持ち主は、イングランド島とアイルランド島に挟まれたマン島の 首都「ダグラス」にお住まいの方。 取得は2010年ですから長く使われてきているドメインだと分かります。 割当てているIPアドレスは”99.84.133.46” このIPアドレスの位置情報を拾ってみると。 東京都千代田区。 利用しているプロバイダーは「Amazon」 アマゾンってほんといろんなことしているんですね、プロバイダーまでしているとは。 ということでこのリンク先のサイトはアマゾンのサーバーで運営されているようです。 試しにサイトを開いてみましたが「This QR Code is no longer available.」と表示されて いるだけで他には何も書かれていません。 訳してみると意味は「このQRコードはご利用いただけなくなりました。」 画面を一番下までスクロールしてみると「Powered By QRStuff.com」とありました。 どうやらこのサイトは「QRStuff.com」ってところで作ったQRコードが表示されていた ようですが何らかの理由で使えなくなった模様。 きっと当局にでも察知されたんでトンズラしたのでしょう。
まとめまず真っ先に見てほしいのは差出人のメールアドレス。 今回もアマゾンの正規ドメインではないメールアドレスを使っていましたよね。 詐欺メールの7割はこうやって正規と異なるアドレスでメールを送ってきますので まずはここに注目してメールを見てください。 では、お気をつけて。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |