違和感しかないメール ちょっとバタバタしててアップが遅くなってしまいました。 このメールは、昨夜届いていたものでちょっと新鮮さが失われているかも知れません。(汗) アマゾンに成りすまし、アカウントの更新ができなかったのでリンクから更新しろと言う よくあるフィッシング詐欺メールです。 「Amazon お客様」なんて妙な書き出し、違和感以外の何物でもありません。 それによく考えてみれば分かると思うのですが、登録されてて今まで使っていたのに急に 「アカウントの一部が誤っている」なんておかしな話ありませんよ。 件名は 「[spam] お支払い方法を更新してください知らせ」 この件名で、ある時は楽天、ある時はアマゾンに成りすましてるのです。 「してください知らせ」なんてこれも違和感ありありですよね。 もちろん”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「Amazon.co.jp <amazon@jkputl.club>」 ”jkputl.club”なんてアマゾンが使うはずありません。 アマゾンの正規ドメインは”amazon.co.jp”です。 差出人はご常連さん では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amazon@jkputl.club>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211201222115637055@jkputl.club>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from jkputl.club (jkputl.club [195.133.10.20])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、このIPアドレスがドメイン”jkputl.club”に紐づけされているかどうか、その持ち主じは 誰か、またこのIPアドレスから使われたメールサーバーの位置情報を拾ってみましょう! この結果から、ドメイン”jkputl.club”は、”Received”にあったIPアドレスにきっちり紐づけ されていますので、メールアドレスに偽装はありませんでした。 また、このドメインの持ち主は、「アメリカ・アリゾナ州・フェニックス」在住のいつもの ご常連さんでした。(笑) これによるとこのIPアドレスは、現在ロシアで使われているようですが、もう少し詳しい 位置を知りたくなるのが人情。 サクッと調べてみました。 これによるとおおよそですが「ロシア・モスクワ・ゼレノグラード」と出ました。 恐らくこの辺りに設置されたメールサーバーを使い私にメールを送ってきたようです。 旬は短し、詐欺サイトは既に閉鎖 では、本文。 Аmazon お客様 Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。 残念ながら、Аmazon のアカウントを更新できませんでした。 今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな 理由でカードの情報を更新できませんでした。 アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。 下からアカウントをログインし、情報を更新してください。 | 詐欺メールではよくありがちなのですが、よく見るとAmazonの”A”だけ全角文字になっています。 詐欺メールの多くはアルファベットを全角で書いてくるものが多く見られますが、その理由は 分かりません。(;^_^A この段落の後ろに「Аmazon ログイン」と書かれたリンクボタンが付けられています。 そのリンク先のURLがこちらです。 使われているドメインは”bonb.club” またclubですか、よっぽどお好きなようですね。(笑) さてこのドメイン、どなたがお持ちでどこで使われているのでしょうか? 先程と同じように調べてみました。 持ち主は、メールドメインと同じく「アメリカ・アリゾナ州・フェニックス」在住の ご常連さん。 割当てているIPアドレスから割出した位置情報がこちら。 「アメリカ・カリフォルニア州・ロサンゼルス」と出ています。 では、ここでどんなサイトを運営しているのでしょうか? 恐らくアマゾンのログインページが開いたものと思われますが、詐欺サイトの旬は本当に 短いもので、残念ながら既に閉鎖されていました。 まとめ 誰がこのようはおかしな件名のメールに騙されますか。 騙されたくても騙されませんよ。 詐欺サイトは既に閉鎖していましたが、また新たなサイトを立ち上げた上で必ずこの文面を 使って詐欺をたくらむはずなのでご用心ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |