『詐欺メール』アマゾンから「【重要なお知らせ】カード情報更新のお知らせ」と、来た件

中国奥地の山奥からのメール

次から次へとよくも考えますな…(;^_^A
アマゾンの支払いエラーが出たらしいです。

エラーを回避するために1日以内に支払方法の再登録を行うように指示されています。

件名は
「[spam] 【重要なお知らせ】カード情報更新のお知らせ」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon.co.jp” <amazonk-account-update@cungbanmuasam.net>」
長いっ、それに”amazon”ではなくアカウント名に”amazonk”の文字が。
で、使われているドメインが”amazon.co.jp“ではなく”cungbanmuasam.net”…誰それ？

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

どこにメールサーバーを置こうが自由ですが、中国奥地のこんな山奥に置かなくてもね…

ロサンゼルスは詐欺サイトのメッカ！？

続いて本文。

こんなメール誰彼にも送っているので当然アマゾンプライム会員以外にも届いていることと
思います。
当然会員外の方は騙されることはありませんが、会員で例えばカードの切り替え時期
だったりすると「もしや？」と思う方もいらっしゃるかもしれません。

そんな方を引きづり込むのが黄色いボタンに付けられたリンク先。
そのリンク先のURLがこちらです。

アマゾンっぽくも見えますが、このURLのドメイン部分は”ryqq.net”
このドメインの持ち主と割り当て地を確認してみました。

”Registrant Country: CN”は中国。
”Registrant State/Province: GUANG DONG”は広東省。
それ以外は全てシークレット扱いになっています。

ここで拾ったIPアドレス”198.211.61.172”はどこで使われているのでしょうか？
結果はこちら。

「アメリカ カリフォルニア州 ロサンゼルス」と出ました。
ロサンゼルスは詐欺サイトのメッカですね(;^_^A
このリンク先で開くのはアマゾンの偽のログインページ。

まとめ

アマゾンが多いか楽天が多いかはたまたETCが多いか。
このところの詐欺メールの動向を見ているとどれもドングリの背比べと言った感じです。
暮れに向けて詐欺メールも多くなる頃、皆さんもお気を付けてお過ごしください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;