『詐欺メール』「アマゾンからのお知らせ」と、来た件

隠し文字のあるメール

「Amazonお客様」から始まるこのようなメールが届きました。
もちろんフィッシング詐欺メールです。

このメール、本文をコピーしようと思い気付いたのですが「Аmazon お客様」と書かれた
後ろに不思議なことに受信したこちらのメールアドレスが隠し文字のように白色で書かれて
いました。

どのような意味があるのでしょうか？

件名は
「[spam] アマゾンからのお知らせ」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon.co.jp” <amazon-co-jp-account@cnkwrf.cn>」
“Amazon.co.jp“を名乗っておきながらよくもなぁ堂々とよそのメールアドレスを記載する
ものですねぇ…それも中国のトップレベルドメインで。(;^_^A

発信元はシアトル付近

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。
まず、登録情報から持ち主を確認してみます。

漢字2文字の氏名。
国名は書かれていませんがドメインの”.cn”からすると恐らく中国の方だと思われます。

次にこのIPアドレス”75.127.13.229”が現在どこで使われているのかを確認します。

これによると「アメリカ,ワシントン州,シアトル」辺りで使われているようです。
このメールはこの付近に置かれたメールサーバーから送られてきたことになります。

”.xyz”を見かけたら注意

では、続いて本文です。

分かりにくいかもしれませんが、4か所書かれた”Аmazon”の”A”だけ全角文字になっています。
これずいぶん昔から見られるのですが、何の意味があるのでしょうね？

この後にある「Аmazon ログイン」と書かれているボタンに詐欺サイトへのリンクが
付けられています。
そのリンク先のURLがこちらです。

アマゾンとは似ても似つかぬURLですよね。
それに使われているトップレベルドメインが”.xyz”なんてきな臭いもの。
このドメインは格安で知られており、それ故にサイバー犯罪には使い捨てとして
よく使われます。
ですからこの”.xyz”を見かけたら注意してください。

使われているドメインは”aideshi.iiuok.xyz”
このドメインについても調べてみます。

なんだ、ご常連さんか。(笑)
持ち主は、うちのサイトではよく見かけるアメリカアリゾナ州フェニックスにある企業です。

では、割出されたIP”209.141.44.246”でその位置情報を拾ってみます。

ラスベガスのマッカラン空港付近が表示されました。
こんなところに詐欺サイトを構えているんですね。

行くまでありませんが、一応確認だけ…
こんなアマゾンのログイン画面が開きました。

まとめ

詐欺メールは圧倒的にアマゾンを騙るものが多いですね。
アマゾンからメールでログインを促されたらそれは詐欺メールかも知れませんよ！
十分にお気を付けください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;