サイトアイコン HEARTLAND

『詐欺メール』「Amazonアカウント設定」と、来た件

2021年最後のエントリー
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

ふたを開ければ見飽きた文章

2021年12月31日、なんだかんだとありましたが今年も無事に何とか暮れていきます。
たぶんこのエントリーを持ちまして2021年最後となります。
来年もネタが続く限り精進してまいりますのでよろしくお願いいたします。

さて、今朝の詐欺メールがこちら。
アマゾンになりすまし第三者不正利用をネタに詐欺をはたらこうとするフィッシング詐欺
メールです。

なんで勝手に導入したシステムのためにカード利用が制限され利用者がカードの利用確認を
しなければならないかって話ですよね。

では、メールのプロパティーから見ていきます。

件名は
「[spam] Amazonアカウント設定」
この件名は初めてですが、内容は何度も何度も見かけた本文。
当然”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「 “Amazon.co.jp” <amazonh-account-update@hzmcyp.net>」
なんで”Amazon.co.jp”と名乗っておきながらドメインが”hzmcyp.net”なの?
バカじゃないの?


中国奥地からのメールだった!?

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amazonh-account-update@hzmcyp.net>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<374789E35F37F985944B78C9568BEF68@qf>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from qf (unknown [113.70.183.41])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレス”113.70.183.41”を使ってそのサーバーの情報を
拾ってみます。

ほらほら、中国ですよ。
これによると「中華人民共和国 広東省 広州市 増城区」付近と出ています。
こんな中国奥地に設置されたメールサーバーを利用してこの詐欺メールを配信しているんです。


氏名知ってるのに宛名がメールアドレスって…

では、本文です。

「〇〇〇@〇〇〇〇.〇〇〇 お客様情報の確認」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

昨今の第三者不正利用の急増に伴い、弊社では「不正利用監視システム」を導入し、
24時間365日体制でカードのご利用に対するモニタリングを行っております。

つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、
予めご了承下さい。

今アカウントを確認できます。

なんで宛名がメールアドレスなの?
アマゾンなら氏名知っているでしょうに…(笑)

初めて見たときは、「はっ!」と思ったけど、こう何度も送られてくると
ほんと見飽きたは、この文章。

この段落の後ろに控えしは悪名高い詐欺サイトへのリンク。
そのリンク先のURLがこちらです。

使われているドメインが”amaznlilil.co.jp.tianlao.net
このドメインの詳細を確認してみます。

わ~っ、見事に”Redacted for privacy”が並んでいます。
ほとんどの情報がプライバシー保護ですね。
唯一分かるのは、持ち主は中国広東省の人間だってことくらいです。

割当ててるIPアドレスが”172.245.136.205”ってことなのでこれを調べることに。

これによると、このIPアドレスの使用地は「アメリカ イリノイ州 シカゴ」付近。
こんな場所で詐欺サイトを開いているようです。

当然のように開くのはこの画面。

そう、アマゾンの偽のログイン画面です。
騙されてここを入力し次の画面でパスワードを求められ、更にその先でカードの情報まで
むしり取れられ万事休す。
気を付けましょうね!


まとめ

いつまでたってもこういった詐欺メールはあとを絶ちませんね。
まあ、手を変え品を変え永遠と続くのでしょうね…
今年もお付き合いくださりありがとうございました。
2022年が皆様にとって良いお年であることをお祈りし今年最後のエントリーとさせて
いただきます。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了