『詐欺メール』「Amazonカード情報更新のお知らせ」と、来た件

heart

3年前

[spam]が付いてない！(；ﾟДﾟ)

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

アマゾンと名乗りながらこのメアドじゃね…

今朝もメールボックスにアマゾンを騙った詐欺メールが多数。
「【Amazon】注文状況をご確認ください」だの
「Amazon.co.jp にご登録のアカウント（名前、パスワード、その他個人情報）」だの
「Amazonプライムの自動更新設定を解除いたしました！」だの…
どれも腐るほど見てきた件名です。
そんな中で、今朝は”[spam]”ってスパムスタンプが付けられていないこのような件名の
メールが1通紛れ込んでいました。

件名は
「Amazonカード情報更新のお知らせ」
先にも書きましたが、いつもなら詐欺メールの件名にサーバーで付加される”[spam]”と
スパムスタンプが付けられていません。
でもこのメールは明らかに詐欺メール。
サーバーがまだ正月モードから抜け出せてないのでしょうか？…(^^;

この件名から推測するに、Amazonに登録してあるクレジットカードの情報を更新しろと
いうことなんだと思われます。
それは本文で後程確認するとして、次に差出人の確認です。

差出人
「”Amazon.co.jp” <amazonr-update-account@zhiliudianji.org.cn>」
“Amazon.co.jp“ってアマゾンを名乗っておきながら何故だかアマゾンには全く関係のない
”zhiliudianji.org.cn”なんてドメインのメールアドレス。
それ以前に、こんなドメイン存在するのでしょうか？
調べた結果はこちら。

「対応するIPアドレスがありません」と書かれているのでドメイン自体は存在するかも
しれませんが、現在はどのIPアドレスも割当てられていないようです。
それにこのアカウント名”amazonr-update-account”
何故そこに”r”を入れたの？
これじゃ信じたくてもねぇ…(笑)

中国の山間地域からのメール？！

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amazonr-update-account@zhiliudianji.org.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<4F8485B193CE7E5C4414DB6D6B46C65E@tlf>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from tlf (unknown [14.223.163.147])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

このIPアドレスの割り当て地は「中華人民共和国広東省広州市増城区」付近とされています。
見るからに何も無さそうな山間地域ですが、このようなところに設置されたメールサーバー
からこのメールを送ってきたようです。

宛名はユーザの氏名です

では、本文を見ていきます。

お客様のご登録のお支払い方法にエラーが発生しました。〇〇〇〇@〇〇〇〇.〇〇〇様

プライムへ登録の際に設定いただいたお支払い方法認証の際にエラーが発生しました。
そのため、現在、お客様にはプライム会員特典をご利用いただけません。
特典をご利用いただくには、 2 日以内にお支払い方法の再登録をお願いいたします。

お客様のお支払い方法にアクセス
Amazonプライムに登録したAmazon.co.jpのアカウントを使用してサインイン
登録済みのお支払手段の有効期限を更新、または新しく支払い手段を追加し、「続行」
ボタンをクリック

エラーの原因は様々ですが、本エラーが発生する例としては、お支払い方法の有効期限が
切れている場合が多く見受けられます。
詳細の原因につきましてはご登録いただいたお支払手段の提供会社（クレジット会社等）に
お問合せ下さい。

2 日以内にお支払い方法が再登録されない場合、ご登録のAmazon プライム会員資格は
自動的にキャンセルされます。
今後ともAmazon.co.jpをよろしくお願いいたします。

まず、1つ。
アマゾンはプライムユーザーに対してメールを配信する場合、宛名はそのユーザの氏名を
記載します。
けしてメールアドレスを宛名に使うことはありませんので覚えておいてください。
ゴタゴタ書いてありますが、もちろん全部でたらめです。

そしてこのくだりの後にこのような記載がありました。

[通知] : このメールが迷惑メールまたは迷惑メールフォルダに送信された場合
新しいセキュリティ更新プログラムのためスパムではないとしてマークしてください。

よく言うよね、どう見ても詐欺メールなのに…(笑)

リンク先はお決まりの偽サイト

1つ目の段落の後に「お支払い方法を再登録」と書かれた黄色いリンクボタンが
配されています。
そう、このボタンは詐欺を実際にはたらくための偽のサイトへの誘導ボタンです。
このボタンにはこのようなURLがリンクされていました。

またまたアマゾンには全く関連性の無い”ama.aicidi.net”なんてドメインが使われた
サイトです。

このドメインについて情報を拾ってみました。

そのほとんどがプライバシー保護されていて、分かったのは登録は中国の北京から行われ
割当てているIPアドレスは”198.23.249.156”ってことだけ。
せっかくなのでこのIPアドレスからその割り当て地を調べてみます。

これによるとその地は「アメリカテキサス州ダラス」付近と表示されました。

では、リンク先のサイトはどのようになっているのでしょうか？
ちょっとだけ覗いてみます。

おっと！Chromeに遮断されてしまいました。
そして続けてウイルスバスターにもブロックされました。

こりゃ相当危険そうな臭いがプンプンしますね。

危険を承知で先に進むと、そこにはいつものアマゾンの偽のログイン画面が
待ち受けていました。

ここでEメールを打込んで先へ進むと、次にパスワードを要求されます。
これも打込んでしまうと、この時点でアマゾンのIDとパスワードは犯人の手中に。
そして引続きクレジットカードの情報を入力する画面へと移りそれらすべての詐取が終わると
何事もなかったかのように正規アマゾンのトップページが開き詐欺が終了。
犯行はこのような手順で進められていきます。
その後は、もちろん思う存分買い物され万事休すです。

まとめ

2022年になっても相変わらず私に届く詐欺メールはアマゾン騙りがダントツ！
宛名が氏名でないアマゾンからのメール、それは全て偽物です。
届いても即削除しましょう～！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)