尻切れトンボな件名またまた、アマゾンに成りすまし日本語に少々難のあるフィッシング詐欺メールが届きました。
件名は
「[spam] ご利用の Amazon アカウントで異常な活動が検出されたため」
中途半端に尻切れトンボな件名ですよね。
「異常な活動」なんて言い方もとても不自然です。
そしてこのメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「アマゾン|Amazon <amazon-update@ulmukbd.cn>」
相変わらず、アマゾンと名乗っておきながらの中国ドメイン。
では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<amazon-update@ulmukbd.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<20220212045758561461@ulmukbd.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from ulmukbd.cn (unknown [118.193.73.26])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
ではまず、このメールアドレス”amazon-update@ulmukbd.cn”が偽装されているかどうかを
このドメインを割当てているPアドレスと”Received”のIPアドレスを比較して確認してみます。
 割り出されたIPアドレスは”118.193.73.26”と”Received”のIPアドレスと同じ数字ですから
この差出人はご自身のメールアドレスを利用したようです。 この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみました。
結果は、フィリピンのマニラ。
差出人は、この地に設置されたメールサーバーを利用したものと思われます。
詐欺サイトはマンハッタンに?!引続き本文を見ていきます。
 まず、この本文委は宛名がありませんね。
アマゾンからのメールには、氏名が宛名として書かれていますが、このメールにはそれが
ありません。 そして、へたくそな日本語。
きっとこれは機械翻訳された影響だと思われます。 フィッシング詐欺メールなので当然このメールにも詐欺サイトへのリンクが張られています。
それはページ末尾のオレンジ色のボタン。
そのリンク先のURLがこちらです。
 まずはこのサイトの危険性をノートンの「セーフウエブ」で確認してみました。
これによると、注意が必要なサイトと出ています。 このURLで使われているドメインは”cqmingjia.com”
次にこのドメインの持ち主と利用地を確認してみました。
 まず、ドメインの持ち主は、カナダの大都市のバンクーバーにある企業でした。
このドメインを割当てているIPアドレスは”107.174.68.166”とあるので、このIPアドレスを
割当てている地域を確認してみました。 
結果はニューヨークのマンハッタン。
この地で運営されている詐欺サイトに接続してみると、普通にアマゾンのログイン画面が
表示されました。
もちろん偽サイトなのでご注意ください!
まとめ相変わらず中国ドメインのフィッシング詐欺メールが後を絶ちません。
もう、アマゾンの成りすましは日常茶飯事で来て当たり前の存在です…(^^;)
そんな風潮でも騙される方がいるのも不思議です。
自分の身は自分で守りましょう! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
