日本のアマゾンが米アマゾンのメールアドレスで?!またアマゾンを騙る新たな刺客が! 件名は 「[spam] 【通知】: Amazon.co.jpアカウントは一時的に停止されています。 (参照ID: AMZ-25806311)」 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”amazon.co.jp” <account-update@amazon.com>」 何故”amazon.co.jp“と日本のアマゾンの名前が書かれているのに”amazon.com”からの メールが来るのでしょうか? どっちにしても偽装されているんですけどね。(笑)
”Return-Path”に異なるドメインがでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<www-data@accnyc1.rkn-mail.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 ”amazonn.com”だったアドレスのドメインがここでは”rkn-mail.com”と全く 違うものになってますね。(笑) | Message-ID:「<1637638252-3f49882a8769a75888ee5d94a25dc364-8462d45f6daf8e85ad6e9d4ed429abb8-xaes@>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from accnyc1.rkn-mail.com (accnyc1.rkn-mail.com [161.35.100.6])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! リモートホスト欄に” accnyc1.rkn-mail.com”と書かれているのでどうやら差出人の メールアドレスドメインは、このドメインで正解のようです。 このドメインの持ち主は、アメリカマサチューセッツ州バーリントンにある ホスティングサービスでした。
詐欺サイトはインドにでは、本文。 お客様各位 ○○○@○○○○.○○○, あなたのアカウントは私たちの利用規約に違反しています。 Amazon.co.jpアカウントは一時的に停止されています。 理由 : お支払い情報を更新できませんでした 再度アカウントを有効にするには、以下のリンクと手順を開いて、 このアカウントがあなたのアカウントであることを確認してください。 |
「お客様各位」の後ろに個人のメールアドレスってのは不思議な感じ。 この後ろに”A”だけ全角の「Аmazon ログイン」と書かれた黄色いリンクボタンが 付けられています。 そのリンク先のURLがこちらです。 このドメインの詳細について調べてみました。 持ち主は、東京都札幌市?? 郵便番号からすると北海道札幌市が正解のようです。 そしてこのドメインを割当てているIPアドレスは”103.48.50.207”です。 では、このIPアドレスを使って詳しい割り当て地を確認してみます。 「インド ラジャスタン州 ジャイプル」と出ました。 おおよその位置ですが、ここでリンク先の偽サイトを運営しているようです。 詐欺サイトは既に閉鎖したようで接続してみましたがリダイレクトされMicrosoft Bingに 飛ばされました。
まとめもちろん”[spam]”と付けれらているのでその時点で詐欺メール確定ですが、日本のアマゾンが 米アマゾンのメールアドレスを使っているってところに大きな違和感を感じましたね。 このようなメールに騙されないようにご注意くださいね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |