『詐欺メール』「【[RECEIVER_ADDRESS]】お客様：Amazon プライム会費のお支払い方法に問題があります、支払い情報を更新する」と、来た件

長すぎる件名は怪しさも倍増？！

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. アマゾンが”pvudj@vs.net”なんてアドレス使う？
2. アドレス偽装を暴いてみる
3. 本文は突っ込みどころ満載
4. リンクサイトの危険度を調査
5. まとめ

アマゾンが”pvudj@vs.net”なんてアドレス使う？

アマゾンに成りすまし”[RECEIVER_ADDRESS] ”ってタグがそのまま表示されてしまった
グダグダなフィッシング詐欺メールが到着！

では、ゆっくり見ていきましょう。

まずはメールのプロパティーから見ていきます。

件名は
「[spam] 【[RECEIVER_ADDRESS]】お客様：Amazon プライム会費のお支払い方法に問題があります、支払い情報を更新する」
たぶん”[RECEIVER_ADDRESS]”には本来受信者のメールアドレスが入るように設定した
つもりなのでしょうけど、なぜだかそのタグがそのまま表示されてしまっています。
本文中の”[RECEIVER_ADDRESS]”も同じでしょうね(笑)
”支払い情報を更新する”を後ろに持ってきたこの件名の書き方、実に詐欺メールらしいですね。
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon” <pvudj@vs.net>」
アマゾンに限らず自社独自のドメインを持っている企業なら必ず自社ドメインを使った
メールアドレスを用いるはずですが…嘘でもいいから偽装したらどうでしょうか？(笑)
それにも増して”vs.net”なんて文字数の少ない取得しずらいドメインもとても怪しいです。

アドレス偽装を暴いてみる

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<pvudj@vs.net>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20220121022812300088@vs.net>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from vs.net (unknown [175.165.178.228])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まず先に、ドメイン”vs.net”と”Received”にあるIPアドレス”175.165.178.228”の関連性を
確認してみます。
もし関連性があるのであれば”vs.net”差出人の本当のアドレスになります。
下の図は、”vs.net”を割当てているIPアドレスを調査した結果です。
”Received”にあるIPアドレス”175.165.178.228”とは全く違う数字が表示されました。
この結果から、差出人のアドレスは偽装であることが判明しました。

では、この”Received”にあったIPアドレス”175.165.178.228”を使ってそのサーバーの
情報を拾ってみます。

結果は、中国の瀋陽市(しんようし)付近のようです。
このへんてこなメールは、この付近に置かれたメールサーバーが発信元のようですね。

本文は突っ込みどころ満載

続いて本文を見ていきましょう。
細かいことは図に記入しておきました。

最上段にある薄い色の文字は「お客様のお支払い方法が承認されません。」と書かれており
正規アマゾンの「お客様のお支払い方法」ってページにリンクが付けられています。
何故このように背景に近い色の文字にしたのかは不明。(;^_^A

文章と言えば、句読点がおかしかったり、中途半端に突然文章が終わったりと、詐欺メール
ではよく見かける間違いが多くあります。
そして、支払ができなかったと言い誘い込む詐欺サイトへのリンクは、このメール内に2か所。
1か所は「支払方法を更新する」と書かれた黄色のボタンと箇条書き部の1行目にある
「お客様のお支払い方法」と書かれた部分に付けられています。
そのリンク先のURLがこちらです。

このURLは、暗号化保護されていない”http”から始まっています。
アマゾンのような個人情報を扱うショッピングサイトのプロトコルが”https”じゃないなんて
考えられません。
このようなサイトに接続するとアドレスバーに

のように表示されてしまいます。

リンクサイトの危険度を調査

では、このURLの先にあるサイトの危険度をトレンドマイクロの”Site Safety Center”で
確認してみました。
結果は、以下の通り「危険」と表示されそのカテゴリは「フィッシング」と書かれています。

今度は、このURLに使われているドメイン”amazmf-jp.shop”について調べてみます。
結果はこちら。

ドメインの持ち主は”Bei Jing”とあるので中国の北京の方。
”Creation Date: 2022-01-20T07:00:00Z”と書かれていますから、このドメインは昨日取得
したばかりです。

このドメインを割当てているIPアドレスは”216.118.235.114”とあります。
次にこのIPアドレスを元にその割り当て地を確認してみると。
その地は、香港付近。

いちいち見に行きませんが、開くのは、どうせアマゾンの偽のログイン画面のはず。
奴らは、ここに設置されたウェブサーバー内で悪事を働いているようです。

まとめ

タグが露出してしまったこのような怪しいメールに誰が騙されるんでしょうね？
もし騙される方がいるとすれば騙される方にも非があるような気がします。
とは言うものの、詐欺メールを送ることはそれ自体が犯罪でコピーサイトの作成も
罪に問われます。
このように簡単に見破れるものも多いですが、巧妙なフィッシング詐欺メールも多いので
ご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)