『詐欺メール』30日猶予編「Amazonプライムのお支払の問題に関するお知らせ」と、来た件

詐欺メールが少ないのは五輪のせい?
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

あからさまな中国ドメイン

今回ご紹介するのもアマゾンを騙るフィッシング詐欺メール。
またあからさまに中国のドメインを使ったメールアドレスからのものです。

最近アマゾンを騙ったものでこのデザインのフィッシング詐欺メールが多いのですが
本物のアマゾンでこのカラーリングのものってありましたっけ?
もしかして、オリジナルデザインなのでしょうか?(笑)

さて、ではメールのプロパティーから見ていきましょう。

件名
「[spam] Amazonプライムのお支払の問題に関するお知らせ」
同じタイトルのものを以前にも一度ご紹介したことがありましたね。

『詐欺メール』「【重要】お客様 Amazonプライムのお支払の問題に関するお知らせ」と、来た件

でもあの時はもっとアマゾンらしいデザインだったはずですが…
このメールにも”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon.co.jp <amazon-service4@ytcqzaf.cn>」
ね、中国ドメインでしょ?!
自社ドメインを持つ企業で、それもネットで商売をするような信用第一の会社が自社ドメイン
ではないメールアドレスを使ってこのような大切なメールを送信することがあると思いますか?
絶対にありませんよ!!

ドメイン管理はアリババに、と言うことは?!

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amazon-service4@ytcqzaf.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<202202041747460110013@ytcqzaf.cn>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「rom ytcqzaf.cn (unknown [202.61.128.231])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレス”202.61.128.231”を利用しそのサーバーの情報を
色々と拾ってみます。

ご覧のように、リモートホストに差出人のメールアドレスと同じドメインが表示されました。
これにより、この差出人はメールアドレスを偽装していないことが確認できました。
このドメインの持ち主は、日本ではあまり見かけない漢字二2文字の方で、ドメインの管理は
アリババに委託されているようです。

先のIPアドレスを使って所在地等を各印してみました。

その場所は、東京都千代田区。
利用しているプロバイダーは中国系の”CTG Server Ltd”と書かれていますね。

”amazon”じゃなくて”anazom

続いて本文を見ていきます。

お客様へ
Amazonプライムをご利用いただきありがとうございます。

Amazonプライムの会員のお支払いにご指定いただいたお客様のお支払い方法が
承認されないため、Amazonプライムの会費をご請求することができませんでした。
現在、Amazonプライム会員の特典はご利用いただけません。
引き続きAmazonプライムの特典をご利用されたい場合、以下の手順に従って
お支払方法を更新してください。

書き出しが「お客様へ」とありますが、アマゾンからくるメールの宛名は必ず氏名です。
アマゾンからのメールで宛名が氏名では無いものは全てフィッシング詐欺メールだと
思ってください。

フィッシング詐欺メールと言えば、詐欺サイトへのリンクですよね!
そのリンクは「支払方法を更新する」と書かれたボタンに付けられています。
そのリンク先のURLがこちらです。

一応ノートンの「セーフウェブ」でサイトの安全性を確認してみました。

やはり安全ではないようです。

使われていたドメインは”anazom.menaci.shop
このドメインも情報を取得してみました。

持ち主は、アメリカアリゾナ州フェニックスにあるいつものご常連企業でした。
割当てているIPアドレスが”155.94.158.83 ”って事なので、こちらもその割り当て地を
探ってみました。

今度はロサンゼルス付近の地図です。
この地に設置されたウェブサーバーで運営されているのはもちろんアマゾンの偽サイトです。

間違ってもログインしたりしないでくださいよ!(笑)

まとめ

以前に同じ件名で受け取ったメールの猶予は1日でしたが、今回は30日。
えらく伸びたものです。(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールAmazon,Amazonプライム,Amazonプライムのお支払の問題に関するお知らせ,anazom,anazom.menaci.shop,CTG Server,IPアドレス,Message ID,Received,Return-Path,Site Safety Center,SMS,SPAM,ytcqzaf.cn,お客様へ,サイバーアタック,サイバー犯罪,スミッシング,ドメイン,なりすまし,フィッシング詐欺,フェニックス,ヘッダーソース,ロサンゼルス,ワードサラダ,中国ドメイン,偽サイト,千代田区,拡散希望,注意喚起,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart