サイトアイコン HEARTLAND

『詐欺メール』有効期限30日編「Amazonプライム会員の特典はご利用いただけません」と、来た件

プライム会員じゃない人にも平等に?!(笑)
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

猶予が延長された?!

今回ご紹介するのは、以前にも一度ご紹介したことのあるものでアマゾンに成りすまし
支払い方法に問題がありプライム会員費が滞っているため規定期間内に支払わないと
会員資格を逸する旨の内容。
以前に紹介した時にはその規定期間内が1日なんて全く猶予の無いものでしたが
今回は30日と結構長い猶予期間が与えられています。(笑)
それにあの時はページのデザインも違っていたのでバージョンアップされていますね。

では、メールのプロパティーから見ていきましょうか。

件名は
「[spam] Amazonプライム会員の特典はご利用いただけません」
もちろん”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon.co.jp <amazon-co-jp@zkawaqq.cn>」
Amazon.co.jp”を名乗っておきながらあからさまに中国ドメインのアドレスですね。
詐欺メールを見ていると、偽装されてないメールアドレスの場合そのほとんどが中国の
ドメインが使われていることがい多いですね。


またしても中国とアメリカ

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amazon-co-jp@zkawaqq.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<202201140331197841154@zkawaqq.cn>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail3.zkawaqq.cn (mail3.zkawaqq.cn [107.174.241.115])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

Received”のIPアドレス”107.174.241.115”を元に差出人のメールアドレスが本物かどうか
ドメイン検索サイトで確認してみます。

リモートホスト欄に”mail3.zkawaqq.cn”と差出人のメールアドレスにあったドメインと
同じものが書かれているので本物でした。
そしてこのドメインの持ち主は、日本ではあまり見られない漢字2文字の方で、ドメインの
管理を”阿里云计算有限公司”と書かれているように中国企業のリババに委託しているので
恐らくは中国の方かと思われます。

では今度はこのIPアドレス”107.174.241.115”が利用されている地域について調べてみます。

これによると割り当て地は「アメリカ ワシントン州 シアトル」付近と出ていますね。
ということは、このメールはシアトル付近に置かれたメールサーバーから発信されたことに
なります。


”アマゾン”じゃな無くて”アモゾム”…

では、本文に移ります。

お客様へ
Amazonプライムをご利用いただきありがとうございます。

Amazonプライムの会員のお支払いにご指定いただいたお客様のお支払い方法が
承認されないため、Amazonプライムの会費をご請求することができませんでした。
現在、Amazonプライム会員の特典はご利用いただけません。
引き続きAmazonプライムの特典をご利用されたい場合、以下の手順に従って
お支払方法を更新してください。

支払方法を更新する

なお、30日以内にお支払方法を更新いただけない場合は、お客様のAmazonプライム会員
資格はキャンセルされます。

プライム会員だろうが無かろうが関係なく不特定多数に宛てて送ってきているのもの
なのでそれ以外の方には全く意味のない詐欺メールとなっています。
これはクレジットカードやメルカリなどに成りすましたものも同じですね。
どこかで入手したメールアドレスのリストにあるものに機械的に送っているから
こうなります。

それに書き出しにある宛名は「お客様へ」
アマゾンならプライム会員の氏名は知っていて当然だし、アマゾンからのメールの宛名は
いつもきっちり氏名が書かれています。
この宛名が今回のように「お客様へ」であったり、メールアドレスであったり、はたまた
何も書かれてなかったりするものは詐欺メールと判断してください。

詐欺メールに付き物と言えば詐欺サイトへのリンクです。
このメールの場合は「支払方法を更新する」と書かれている部分に付けられていました。
そのリンク先のURLがこちらです。

使われているドメインはサブドメインも含め”amozom.co.ip.hostive.club”です。
amazon.co.jp”っぽいスペルも見えますが、よく見ると”amozom.co.ip”…
「アモゾム」って…(;^_^A
それにこのURLのドメインは”amozom.co.ip”ではなく”hostive.club”ですので
お間違いないようご注意ください。

では引き続きこの”amozom.co.ip.hostive.club”ってドメインについて調べてみます。

ドメインの持ち主は、うちのサイトのご常連さん「アメリカ アリゾナ州 フェニックス」にある
企業です。
割当てているIPアドレスは”155.94.138.211”と記されていますね。
では先程と同じようにこのIPアドレスを元にその割り当て地を確認してみます。

今度は「アメリカ カリフォルニア州 ロサンゼルス」付近と表示されました。
ここに置かれたウェブサーバー内で詐欺サイトを開いているようですね。

いちいち見に行きませんが、開くページは下図のようなアマゾンのログインページを模した
コピーサイトです。

絶対に入力しないでくださいね!


まとめ

相変わらず中国とアメリカはセットですね(汗)
それにしてもなぜ詐欺メールには中国が多いのでしょうか?
悪い人ばかりじゃないと思うのですが…(;^_^A
何度も言いますが、ECサイトやクレジットカード会社からのメールでリンクが付けられて
いるものは、絶対にそのリンクを使わずスマホアプリや検索で見つかったサイトへ接続し
確認するように心掛けてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了