香港からのメール今朝は、この新種の詐欺メールが。 アマゾンに成りすまし、支払い承認が得られなかったと嘘をつき、プライムアカウント情報や 個人情報、クレジットカード情報を盗み取ろうとする悪質なフィッシング詐欺メールです。  では、プロパティーから見ていきましょう。 件名は 「[spam] お支払いの利用承認が得られませんでした」 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「Amazon.co.jp <amazon-account@dhejczc.cn>」 ”Amazon.co.jp”を名乗りながらアドレスのドメインが”dhejczc.cn”って合点がいきません。 本物のアマゾンならアドレスのドメインは”amazon.co.jp”でなければなりません。 件名の”[spam]”が示す通りそれ以前の問題ですが… では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amazon-account@dhejczc.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220118175948435204@dhejczc.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from dhejczc.cn (unknown [143.92.45.141])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずは、メールアドレスにあったドメインを確認してみましょうか。  詳しくは図中に書き込んでおきました。 IPアドレスは”Received”にあったものと一致したので差出人は自分のメールアドレスを 偽装することなく使っていました。 では、このIPアドレス”143.92.45.141”を使ってそのサーバーの情報を拾ってみます。  結果はご覧の通り、差出人の利用したメールサーバーは香港に設置しているようです。
リンク先URLの危険度は?!引続き本文を見ていきましょう。  見難いので詳しく見たい方はクリックし拡大してご覧ください。 まず気が付くのは、宛名がメールアドレスになっていますよね。 アマゾンならここは「必ずプライム会員申請で入力した氏名になるはず」です。 そして気になる「得ら れません」ってところの不気味な空白… どうするとこうなるのでしょうか? 一度聞かせてほしいものです(笑) この本文には、たくさんの箇所にリンクが付けられていますが、どれもリンク先は同じ ところ。 そのリンク先のURLがこちらです。  まず、トレンドマイクロが提供する”Site Safety Center”で、このURLの危険度を確認して みたいと思います。  結果は、ご覧の通り「黒」です。 こちらでは、危険なサイトとされておりそのカテゴリはフィッシング詐欺とされています。 このURLに使われているドメインは”amaozem.fuuvwgt.cn” このドメインについても、持ち主、そしてその使われている場所を調べてみました。 まずは持ち主。 先程のメールアドレスのドメインと持ち主の氏名は異なることながら申請した際に記入した メールアドレスのドメインが同じですので、同じグループの持ち物と判断できますね。  このドメインを割当てているIPアドレスは”204.44.70.227”って事なので、次はこのIPアドレス を元にその割り当て地を確認してみます。 結果は、アメリカのロサンゼルス付近が表示されています。 リンク先のウェブサイトは、この付近に置かれたウェブサーバーで運用されているようです。 
まとめわざわざ行ってみませんでしたが、リンク先は、アマゾンに見せかけたの偽のログインページ。 騙されてログインしてしまうと、フォーム画面が表示され、個人情報やクレジットカード情報 を次々とられますのでご用心。 今回は、まず差出人のメールアドレスのドメインがアマゾンのものでないので簡単に見破る 事が出来ました。 でも、大半のフィッシング詐欺メールでは差出人のメールアドレスは偽装されていますので 要注意! やはりヘッダーソースまで読み解けるスキルが必要ですね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |