中国奥地の山奥からのメール次から次へとよくも考えますな…(;^_^A アマゾンの支払いエラーが出たらしいです。 エラーを回避するために1日以内に支払方法の再登録を行うように指示されています。 件名は 「[spam] 【重要なお知らせ】カード情報更新のお知らせ」 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Amazon.co.jp” <amazonk-account-update@cungbanmuasam.net>」 長いっ、それに”amazon”ではなくアカウント名に”amazonk”の文字が。 で、使われているドメインが”amazon.co.jp“ではなく”cungbanmuasam.net”…誰それ? では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amazonk-account-update@cungbanmuasam.net>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<009bb80d1ac7$ef20d05c$2eb2ddf8$@ptqcy>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ptqcy (unknown [1.206.72.40])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! どこにメールサーバーを置こうが自由ですが、中国奥地のこんな山奥に置かなくてもね…
ロサンゼルスは詐欺サイトのメッカ!?続いて本文。 プライムへ登録の際に設定いただいたお支払い方法認証の際にエラーが発生しました。 そのため、現在、お客様にはプライム会員特典をご利用いただけません。 特典をご利用いただくには、 1 日以内にお支払い方法の再登録をお願いいたします。 |
こんなメール誰彼にも送っているので当然アマゾンプライム会員以外にも届いていることと 思います。 当然会員外の方は騙されることはありませんが、会員で例えばカードの切り替え時期 だったりすると「もしや?」と思う方もいらっしゃるかもしれません。 そんな方を引きづり込むのが黄色いボタンに付けられたリンク先。 そのリンク先のURLがこちらです。 アマゾンっぽくも見えますが、このURLのドメイン部分は”ryqq.net” このドメインの持ち主と割り当て地を確認してみました。 ”Registrant Country: CN”は中国。 ”Registrant State/Province: GUANG DONG”は広東省。 それ以外は全てシークレット扱いになっています。 ここで拾ったIPアドレス”198.211.61.172”はどこで使われているのでしょうか? 結果はこちら。 「アメリカ カリフォルニア州 ロサンゼルス」と出ました。 ロサンゼルスは詐欺サイトのメッカですね(;^_^A このリンク先で開くのはアマゾンの偽のログインページ。
まとめアマゾンが多いか楽天が多いかはたまたETCが多いか。 このところの詐欺メールの動向を見ているとどれもドングリの背比べと言った感じです。 暮れに向けて詐欺メールも多くなる頃、皆さんもお気を付けてお過ごしください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |