『詐欺メール』アマゾンから「アカウントが停止されました。」と、来た件

アマゾンの正規ドメインは”amazon.co.jp”です

マジで週明けのメールチェック時の詐欺メールの多さが怖いです(汗)
今朝はこの話題から。

これはアマゾンを騙り支払いでのカードが使えなかったと偽ってアマゾンのログイン情報や
その他個人情報とクレジットカードの情報を盗み取ろうとする詐欺メールです。

件名は
「アカウントが停止されました。」
珍しくいつもあるスパムスタンプが付いていませんね。
本来なら”[spam]”とスタンプが付けられているはずなのですが。。。

差出人は
「"Amazon.co.jp" <amazon24@amazonjpsecurity3.com>」
アマゾンの正規ドメインは”amazon.co.jp”で”amazonjpsecurity3.com”ではありません。
したがってこのメールは詐欺メールだと断定できます。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの情報を拾ってみましょう！

やはり「google.com」と出ていますね。
ということは、このメールの差出人はGoogleの個人向けレンタルサーバーのユーザーで
あることが想像できます。

詐欺サイトのプロバイダーはアマゾン？！

では本文を見ていきます。

このメールの冒頭に「下記注文」と書かれていますが、その下記注文が見当たらないのは
書き忘れでしょうか？(笑)
それに「再度問題が発生した場合は、その旨をEメールでお知らせいたします。」って
書いてありますが「今回は良いの？」と思っちゃったら次の行で「なお、1日以内に変更
または修正いただけなかった場合は、誠に勝手ながら、アカウントを閉鎖します。」
って結局ダメなんじゃん…

ま、そんなのは奴らには関係ないのです。
だってこのメールの大事な目的は、その次にあるリンクを押させることなので。
そのリンクは、赤字にした部分に付けられています。
リンク先のURLがこちら。

ここで使われているドメインは「qrs.ly」
余り見かけない”.ly”は北アフリカにある「リビア」のトップレベルドメインです。
持ち主と割当てているIPを確認してみます。

「Country: IM」とあるので持ち主は、イングランド島とアイルランド島に挟まれたマン島の
首都「ダグラス」にお住まいの方。
取得は2010年ですから長く使われてきているドメインだと分かります。
割当てているIPアドレスは”99.84.133.46”
このIPアドレスの位置情報を拾ってみると。

東京都千代田区。
利用しているプロバイダーは「Amazon」
アマゾンってほんといろんなことしているんですね、プロバイダーまでしているとは。
ということでこのリンク先のサイトはアマゾンのサーバーで運営されているようです。

試しにサイトを開いてみましたが「This QR Code is no longer available.」と表示されて
いるだけで他には何も書かれていません。
訳してみると意味は「このQRコードはご利用いただけなくなりました。」
画面を一番下までスクロールしてみると「Powered By QRStuff.com」とありました。
どうやらこのサイトは「QRStuff.com」ってところで作ったQRコードが表示されていた
ようですが何らかの理由で使えなくなった模様。
きっと当局にでも察知されたんでトンズラしたのでしょう。

まとめ

まず真っ先に見てほしいのは差出人のメールアドレス。
今回もアマゾンの正規ドメインではないメールアドレスを使っていましたよね。
詐欺メールの7割はこうやって正規と異なるアドレスでメールを送ってきますので
まずはここに注目してメールを見てください。
では、お気をつけて。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;