『詐欺メール』「Amazonプライム会費のお支払い方法に問題があります、支払方法を更新する」と、来た件

プライム会員を狙った詐欺メール

AmazonにJCBにUC CARDと楽天、毎週週明けのフィッシング詐欺メール処理は大変です。

そんな中で今回は、こちらのフィッシング詐欺メールをご紹介していこうと思います。

これは、アマゾンのプライム会員を標的にプライム会員会費が支払えない状態なので
クレジットの情報を更新しろと言いそのカード情報を盗み取ろうとする詐欺メールです。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] Amazonプライム会費のお支払い方法に問題があります、支払方法を更新する」
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon.co.jp <amazon-update1@hetaijiankang.cn>」
あり得ないです。
”Amazon.co.jp”を名乗っておきながらの中国ドメイン…(;^_^A
日本のアマゾンが中国のメールアドレスを使うなんて。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

ドメイン”hetaijiankang.cn”を割当てているIPアドレスと”Received”に記載されている
IPアドレスを比較し、その相関性について調べてみました。

結果は、上の図通りピッタリと合致しました。
この結果からこの差出人は、アドレス偽装することなく自身の持つメールアドレスで
このメールを送信したことが断定できました。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

このドメインの持ち主は、漢字三文字の氏名の方。
差出人が利用したメールサーバーは都内の東京都千代田区付近にあり、そのサーバーは
「CTG Server」と言う中国系のサーバーのようです。

そのメールに宛名はありますか？

では続いて本文です。

まず、このような大切なメールなのに宛名がありません。
普通なら冒頭に「○○様」と書くはずです。
もちろん、この差出人はこちらの氏名を知らないから書けるはずありませんけどね(笑)
ここにはクレジットカードが利用できずプライム会員が支払えないと書いてありますが
その支払いができない理由が書かれていません。

箇条書きにされた説明書きの下に「支払方法を変更する」と書かれた黄色のボタンがあり
そこに詐欺サイトへのリンクが付けられています。
そのリンク先のURLがこちらです。

あれ？httpsじゃなくてhttp？
ということは、保護されてない通信方法の危険なサイトですね。

まずは、このサイトの危険性についてトレンドマイクロの「サイトセーフティーセンター」
で確認してみました、すると…

このサイトは、相当危険なようですね！

このURL”amazon.co.jp”らしく書かれていますが、実際は”azanzo.co.ip”
それにこのURLのドメイン部分は”azanzo.co.ip”ではなく”abovetic.club”です。
では、この危険なサイトで使われているドメインの持ち主を確認してみましょう。

結果は、アメリカアリゾナ州フェニックスにあるご常連企業でした。
ほんとこの企業が運営する詐欺サイトはたくさんありますね。

このドメインを割当てているIPアドレスは”155.94.174.91”って事なので、このIPアドレスを
元にその割り当て地を確認してみます。

表示された結果は、ロサンゼルス。
この付近に設置されたウェブサーバーでアマゾンの偽サイトを構築しているんです。

まとめ

犯人は、またあのご常連さんでしたね。
飽きもしないでよくやりますわ…
フィッシング詐欺メールの7割はメールアドレスが中国ドメインです。
怪しいメールは、まず最初に差出人のドメインも必ず確認してみてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;