サイトアイコン HEARTLAND

『詐欺メール』「アマゾンからのお知らせ」と、来た件

”Аmazon”の”A”だけ全角文字
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

隠し文字のあるメール

「Amazonお客様」から始まるこのようなメールが届きました。
もちろんフィッシング詐欺メールです。

このメール、本文をコピーしようと思い気付いたのですが「Аmazon お客様」と書かれた
後ろに不思議なことに受信したこちらのメールアドレスが隠し文字のように白色で書かれて
いました。

どのような意味があるのでしょうか?

件名は
「[spam] アマゾンからのお知らせ」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon.co.jp” <amazon-co-jp-account@cnkwrf.cn>」
Amazon.co.jp“を名乗っておきながらよくもなぁ堂々とよそのメールアドレスを記載する
ものですねぇ…それも中国のトップレベルドメインで。(;^_^A


発信元はシアトル付近

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amazon-co-jp-account@cnkwrf.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Received:「from mail3.cnkwrf.cn (mail3.cnkwrf.cn [75.127.13.229])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。
まず、登録情報から持ち主を確認してみます。

漢字2文字の氏名。
国名は書かれていませんがドメインの”.cn”からすると恐らく中国の方だと思われます。

次にこのIPアドレス”75.127.13.229”が現在どこで使われているのかを確認します。

これによると「アメリカ,ワシントン州,シアトル」辺りで使われているようです。
このメールはこの付近に置かれたメールサーバーから送られてきたことになります。


”.xyz”を見かけたら注意

では、続いて本文です。

Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな
理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため
Аmazon アカウントの 情報を確認する必要があります。
下からアカウントをログインし、情報を更新してください。

分かりにくいかもしれませんが、4か所書かれた”Аmazon”の”A”だけ全角文字になっています。
これずいぶん昔から見られるのですが、何の意味があるのでしょうね?

この後にある「Аmazon ログイン」と書かれているボタンに詐欺サイトへのリンクが
付けられています。
そのリンク先のURLがこちらです。

アマゾンとは似ても似つかぬURLですよね。
それに使われているトップレベルドメインが”.xyz”なんてきな臭いもの。
このドメインは格安で知られており、それ故にサイバー犯罪には使い捨てとして
よく使われます。
ですからこの”.xyz”を見かけたら注意してください。

使われているドメインは”aideshi.iiuok.xyz
このドメインについても調べてみます。

なんだ、ご常連さんか。(笑)
持ち主は、うちのサイトではよく見かけるアメリカアリゾナ州フェニックスにある企業です。

では、割出されたIP”209.141.44.246”でその位置情報を拾ってみます。

ラスベガスのマッカラン空港付近が表示されました。
こんなところに詐欺サイトを構えているんですね。

行くまでありませんが、一応確認だけ…
こんなアマゾンのログイン画面が開きました。


まとめ

詐欺メールは圧倒的にアマゾンを騙るものが多いですね。
アマゾンからメールでログインを促されたらそれは詐欺メールかも知れませんよ!
十分にお気を付けください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了