サイトアイコン HEARTLAND

『詐欺メール』「Amazon Pay ご請求内容のお知らせ番号」と、来た件

強制停止って(-_-;)
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

差出人のアドレスは必ずご確認を!

Amazon Payさんからこのようなメールが届きました。

不審な支払があったそうでアカウントが”強制停止”されているとか…(汗)
その不審な支払とは、このメールによると支払額は42,931円で支払方法はAmazon Pay。
支払先はApple Storeのようです。
当然そのような支払を行った記憶はありませんが、それ以前に何故この支払が不審だと
分かるのでしょうか?
そしてなぜそのために個人情報を確認する必要があるのでしょうか?
私はそれの方が気になって仕方ありません(笑)

では、プロパティーから確認していきます。

件名は
「[spam] Amazon Pay ご請求内容のお知らせ番号:158485742416」
この件名からして不審な支払いを想像するものではありませんね。
大切なメールなら件名にその旨を知らすと思うのですがどうでしょうか?
末尾の通し番号は、このメールの信憑性を高めるためで当然でたらめの数字です。

”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon.co.jp <amozon-co-jp@oggfpwb.cn>」
バカバカしいですね、信用第一のアマゾンが自社ドメインを使わないメールアドレスで
顧客にメールを送るはずがありません!
それも中国のドメインで…
日本のアマゾンならメールのドメインは必ず”amazon.co.jp”ですのでお間違いなく!!
まあ、この”oggfpwb.cn”ってドメインも本当かどうか分かりませんがね。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amozon-co-jp@oggfpwb.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211221214238247757@oggfpwb.cn>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from amazon.server.co.jp (unknown [124.224.40.119])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

この情報によると送信元のサーバーは中国の北京に設置されているようです。
もちろんAmazonが中国のサーバーを利用してメールを送ることはありません。(笑)


「A」だけ全角のメール

では引き続き本文を見ていきます。

Аmazon お客様

日頃は、Amazon をご利用いただきまして誠にありがとうございます。
お客様のアカウントは強制停止されています アカウントで不審なお支払いが検出されました。
取引注文を防ぐために、個人情報を確認する必要があります。
Аmazon ログイン
なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、
アカウントの利用制限をさせていただきますので、予めご了承ください。

「Аmazon お客様」って書き出しも不自然ですが、もっと不思議なのは色を付けたAmazonの
”A”だけ全角なこと。
これ、詐欺メールで時々見られるのですが何故なのでしょうか?
それに途中の” – ”はどうしてここに入れられているのでしょうか?
詐欺メールは不思議なことが本当に多いです。(;^_^A

この段落で「Аmazon ログイン」と書かれている所に詐欺サイトへのリンクが付けられています。
そのリンク先のURLがこちらです。

本当にAmazonならドメイン部分はメールアドレスでお話ししたように”amazon.co.jp”のはず。
でもこのURLで使われているドメインは”tnpwrl.cn

では、このドメインの持ち主と現在の利用地を調べてみます。

持ち主の氏名は、こんな漢字当用漢字にあるのかなってくら
このドメインを割当てているIPアドレスは”14.63.168.157”らしいのでこのIPを使ってその位置
を確認してみます。

出てきたのは隣国の「キョンギ道ソンナム市」

ではここに置かれたWebサーバーでどのようなサイトが開かれているのでしょうか?
ちょっとだけ覗いてみます。

真っ先にウイルスバスターに遮断されました。

ブロックされたサイトに敢えて訪れてみます。

まあ想像通りの結果です。(笑)

適当にでたらめな情報を入れてへ進むと個人情報を入力するフォームが表示されました。

危険なのでこの辺りでやめておきます。


まとめ

フィッシング詐欺メールで一番多いのはやはりアマゾンを騙ったものです。
やはりそれだけユーザーが多いからでしょうか。
ショッピングサイト系で次に多いのは楽天グループです。
でもなぜだかYahooを騙るものはとても少ないのはなぜでしょうか?
不思議でなりません・・・
そろそろ年末イベントシーズンですが、気持ちを緩めずメールの管理はしっかりと
お願いします。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了