アマゾンのドメインは”amazon.co.jp”です! 週明け第一弾はアマゾンの詐欺メールから。 第三者の不正利用を騙った日本語のおかしなメールです。 送信時刻は今朝5時過ぎで仕事用のアドレスに届いたものです。 件名は 「[spam] 今すぐあなたのアカウントを確認してください」 ”今すぐ”なんて慌ただしさを醸し出していますね。 でも誰が何と言おうと”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「Amazon.co.jp <apikey@latestamazoncardplanmail.cloud>」 ”Amazon.co.jp”と名乗っておきながらこのクソ長ったらしい全然関連性の無いドメインの メールアドレス。 アマゾンがこのようなアドレスを使うはずがありません!!(^-^; ご常連さんから?! では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<apikey@latestamazoncardplanmail.cloud>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<0DE368D1F89D9F21A53BACC94ECE89B5@amazon.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 ここには”amazon.co.jp”を使っているのですね(笑) | Received:「from mail0.latestamazoncardplanmail.cloud (unknown [5.188.214.96])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、この情報を元に調査してみました! まず”Received”にあるIPアドレスから。 これによるとこのIPには”rjyrewwtkxsqbpmy4.example.com”ってメインが割当てられていて アメリカで運用されていることが分かりました。 今度は、メールアドレスにあったドメイン”latestamazoncardplanmail.cloud”について。 このドメインもIPアドレス”5.188.214.96”に割当てられていました。 1つのIPアドレスに対していくつものドメインを割当てることができるのでこういうことが 起こりえます。 このドメインの持ち主の方は、アメリカアリゾナ州フェニックス在住でうちのサイトでは ご常連の方。(笑) IPアドレス”5.188.214.96”から詳しい位置情報を拾ってみました。 おおよその位置ですが、こちらは「アメリカ,バージニア州,ブル・ラン」って場所が表示 されました。 このメールは、この地に設置されたメールサーバーが発信元のようです。 今時”http”は流行りませんよ! では、本文を見てみます。 お客様いつもをご利用いただき、ありがとうございます。 新しいデバイスからお客様のアカウントへのサインインが検出されました。 日時 2021/11/29 4:25:31 Japan Standard Time デバイス iPad OS 13_5_1 like Mac OS X 付近 東京都 町田市 これがお客様ご自身による操作だった場合、このメッセージは無視してください。 ご本人の操作ではない場合、アドレスをID情報を更新してください。 | 不正利用を疑うような誰か別の人間がアクセスしたようなことが書かれていますね。 日時、デバイス、付近は、このメールに信憑性を持たせるためのもので全くのでたらめです。 それに最終行の”を”は”や”の間違いですよね?(笑) この後ろに「支払方法の情報を更新する」と書かれた黄色いリンクボタンがあり 以下のURLにリンクされていました。 またまた長ったらしいドメインですね。(^-^; ”.xyz”ってトップレベルドメインは危険なサイン! 格安で取得できる故にサイバー犯罪用の使いまわしに良く使われるので覚えておいて 損はありませんよ! それにこのURLのプロトコルは”https”じゃなくて”http”。 今時のサイトで暗号化されてない”http”は推奨されません。 特にアマゾンのようなショッピングサイトならなおさらです! では、この長ったらしい”regularupdates.latestamazoncardplan.xyz”ってドメインについて 調べてみます。 持ち主は、先程のメールのドメインと同じ「アメリカ,アリゾナ州,フェニックス」在住の ご常連さん。 そして割当てられてるIPアドレスは”155.94.205.198” このIPアドレスの所在がこちらです。 これもおおよそですが「カリフォルニア州,ロサンゼルス」です。 この地でどのようなサイトを開いているのかと思って接続してみると、すかさずウイルス バスターに阻止されてしまいました。 危険を承知で先に進むと、予想通りアマゾンのログイン画面に似せた詐欺サイトに つながりました。 詐欺サイトなので絶対にログインしないでくださいね! まとめ 今回もメールアドレスでそれと分かる詐欺メールでしたね。 それにしてもこのご常連さんは、凝りもせずいくつの詐欺メールをこしらえているので しょうか? こんなことに労力を使わず別にその才能を発揮したら良いと思うのは私だけでしょうか? いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |