プライム会員を狙った詐欺メール AmazonにJCBにUC CARDと楽天、毎週週明けのフィッシング詐欺メール処理は大変です。
 そんな中で今回は、こちらのフィッシング詐欺メールをご紹介していこうと思います。
 これは、アマゾンのプライム会員を標的にプライム会員会費が支払えない状態なので
クレジットの情報を更新しろと言いそのカード情報を盗み取ろうとする詐欺メールです。 では、メールのプロパティーから見ていきましょう。 件名は
「[spam] Amazonプライム会費のお支払い方法に問題があります、支払方法を更新する」
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「Amazon.co.jp <amazon-update1@hetaijiankang.cn>」
あり得ないです。
”Amazon.co.jp”を名乗っておきながらの中国ドメイン…(;^_^A
日本のアマゾンが中国のメールアドレスを使うなんて。 では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<amazon-update1@hetaijiankang.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<202201301349265354755@hetaijiankang.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from hetaijiankang.cn (unknown [202.61.129.137])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | ドメイン”hetaijiankang.cn”を割当てているIPアドレスと”Received”に記載されている
IPアドレスを比較し、その相関性について調べてみました。
結果は、上の図通りピッタリと合致しました。
この結果からこの差出人は、アドレス偽装することなく自身の持つメールアドレスで
このメールを送信したことが断定できました。 では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。
 
このドメインの持ち主は、漢字三文字の氏名の方。
差出人が利用したメールサーバーは都内の東京都千代田区付近にあり、そのサーバーは
「CTG Server」と言う中国系のサーバーのようです。
そのメールに宛名はありますか? では続いて本文です。 お支払方法に問題があり、プライム特典をご利用いただけない状況です
Amazonプライムをご利用頂きありがとうございます。
お調べしたところ、会費のお支払いに使用できる有効なクレジットカードがアカウントに
登録されていません。
クレジットカード情報の更新、新しいクレジットカードの追加については以下の手順を
ご確認ください。 1. アカウントサービスからAmazonプライム会員情報を管理するところをアクセスします。 2. Amazonプライムに登録したAmazon.co.jpのアカウントを使用してサインインします。 3. 「現在の支払方法」の下にある「支払方法を変更する」のリンクをクリックします。 4. 有効期限の更新または新しいクレジットカード情報を入力してください。 | まず、このような大切なメールなのに宛名がありません。
普通なら冒頭に「○○様」と書くはずです。
もちろん、この差出人はこちらの氏名を知らないから書けるはずありませんけどね(笑)
ここにはクレジットカードが利用できずプライム会員が支払えないと書いてありますが
その支払いができない理由が書かれていません。 箇条書きにされた説明書きの下に「支払方法を変更する」と書かれた黄色のボタンがあり
そこに詐欺サイトへのリンクが付けられています。
そのリンク先のURLがこちらです。
あれ?httpsじゃなくてhttp?
ということは、保護されてない通信方法の危険なサイトですね。 まずは、このサイトの危険性についてトレンドマイクロの「サイトセーフティーセンター」
で確認してみました、すると…
このサイトは、相当危険なようですね! このURL”amazon.co.jp”らしく書かれていますが、実際は”azanzo.co.ip”
それにこのURLのドメイン部分は”azanzo.co.ip”ではなく”abovetic.club”です。
では、この危険なサイトで使われているドメインの持ち主を確認してみましょう。
 結果は、アメリカアリゾナ州フェニックスにあるご常連企業でした。
ほんとこの企業が運営する詐欺サイトはたくさんありますね。 このドメインを割当てているIPアドレスは”155.94.174.91”って事なので、このIPアドレスを
元にその割り当て地を確認してみます。
 表示された結果は、ロサンゼルス。
この付近に設置されたウェブサーバーでアマゾンの偽サイトを構築しているんです。
まとめ 犯人は、またあのご常連さんでしたね。
飽きもしないでよくやりますわ…
フィッシング詐欺メールの7割はメールアドレスが中国ドメインです。
怪しいメールは、まず最初に差出人のドメインも必ず確認してみてください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 