『詐欺メール』「[重要]：【Amazonプライム会費のお支払い方法に問題があります】」と、来た件

プライム会員標的の詐欺メール

2021年名古屋のイヴは、残念ながらホワイトクリスマスには程遠いしとしと雨となりました。
皆さんのお住まいの地はどうでしたでしょうか？
どうやら巷の噂だと25日の夜から強烈な寒波との予報でご当地名古屋でも月曜の朝は積雪と
なりそうとニュースでしきりに警戒を呼び掛けています。
年末押し迫った月曜に混乱だけは避けたいのですがどうなることやら(汗)

さて、話は変わっていつもの通り詐欺メールのご紹介です。
これはアマゾンのプライム会員を対象にアマゾンに成りすましクレジットカード情報の情報を
盗み取ろうとするもの。
プライム会員がどれだけいるか知りませんが、プライム会員以外は完全にスルーです。

件名は
「[spam] [重要]：【Amazonプライム会費のお支払い方法に問題があります】」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon Prime <prime-info@szzxc.shop>」
アマゾンを名乗っておきながら何ですかこのメールアドレスは。
嘘でもいいからアマゾンのドメインを使ってくださいよ…(笑)

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

隣国のソウルと出ました。
もちろんおおよその位置ですが、この辺りに設置されたメールサーバーを利用して
このメールが送られてきたようです。

中国＆ロスアンゼルスはド定番

本文を見ていきましょう。

(見易いように適当に改行してあります)
私はアマゾンプライム会員ですが、アマゾンからのメールで宛名がメールアドレスだった
ことは今までに一度もありません。
アマゾンからのメールの宛名は必ず氏名で送られてきます。

文中の「クレジットカードの一時性をロックしています」ってくだり。
意味が分かりません。
たぶん”性”を間違って入力してしまったでしょう(笑)

さて、この段落の後「Amazonプライムに登録する」と書かれた黄色いボタンに詐欺サイト
へのリンクが付けられています。
そのリンク先のURLがこちらです。

サブドメインを含め使われているドメインは”primecentral.chenting.shop”
メールにも使われていた”.shop”ってドメイン。
きっと格安で取得できるんでしょうね。
”.xyz”と共に詐欺メールや詐欺サイトでよく見られるドメインです。
もちろんこれらを使っている全てのサイトが悪というわけではありませんよ！

このドメインについて情報を探ってみました。

持ち主は、どうやら中国の安徽省(あんきしょう)にお住まいの方。
IPアドレスの割り当て地はロシアとありますが、このサイトの割り当て地情報は眉唾。
この取得したIPアドレス”45.128.73.227”を使って別のサイトで詳しく調べてみます。

抽出されたのはアメリカロサンゼルス市庁舎付近。
これも当然おおよその位置情報なのはご承知ください。
このような場所で偽サイトを運営しているんですね。

このサイトで表示されるのは、当たり前ですがアマゾンの偽のログインページです。

ここへメールアドレスや電話番号を入力して先に進むと、次から次へと個人情報やクレジット
カードの情報が盗み取られていきますので要注意。

まとめ

毎度の事ですが、アマゾンや楽天などショップサイトからのメールにあるリンクは
絶対に当てにしないでください。
必要な際はスマホアプリでログインするようにお願いいたします。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;