『詐欺メール』アマゾンから「アカウントが停止されて、」と、来た件

久々にワードサラダを発見
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

一晩に何度もアカウントを停止される…

今朝、メールボックスにあったアマゾンを名乗ったフィッシング詐欺メールの一覧です。
一晩で6回も停止されていますが、アマゾンってどれだけ私のアカウントを停止されば
気が済むのでしょうか?(笑)
本当にスパムには困ったものです…(;^_^A

では今回は、この中からこちらメールにスポットを当ててご紹介していこうと思います。

あまり日本語が得意ではない方からのメールのようです。(笑)

では、このメールをプロパティーから見ていきましょう。

件名は
「[spam] アカウントが停止されて、」
中途半端に切っちゃって、なんか歌や映画のタイトルのような件名ですね…(笑)
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「カスタマーサービスセンター” <pinpon@hwa-mi.com>」
当たり前のように”amazon.co.jp”ではないメールドメインで送られてくるメール。
最近多いですね…(汗)
まあこのメールアドレスもご本人のものかどうか…

嘘に更に嘘が発覚!

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<pinpon@hwa-mi.com>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<e008466f7c4ef2c7b4715a2212d4b6f9@hwa-mi.com>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from znserena.com (unknown [137.220.233.233])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まず差出人のメールアドレスの信憑性について調べてみましょうか。
使われているドメインは”hwa-mi.com”です。
このドメインを割当てているIPアドレスは下図のように”210.172.183.41”です。

Received”にあったIPアドレスは”137.220.233.23”ですから全く異なります。
これは、この差出人はメールアドレスを偽装しているということを示しています。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

東京都千代田区九段付近、なんか最近よく見る地図です。
プロバイダーは「Rackip Consultancy Pte. LTD」と書かれていますね。
こちらはどうやらシンガポールにある会社のようです。

そのIP、福島市ではなく杭州市では?

では本文です。

相変わらずカタコトの日本語ですね。(;^_^A
この方は、なんでも私のアカウントで異常なログインが発見されたと申しています。
日時、IPアドレス、装備、場所、などをご丁寧に教えてくださっています。
ただ、全部ウソですけどね(笑)
このIPアドレスを元にその割り当て地を確認してみると中国の杭州市…
福島市じゃなかったっけ?(笑)

詐欺サイトは江東区付近にあり?!

嘘八百を並べ受信者を不安にさせた挙句に誘導するのは黄色いリンクボタン。
りんくさきのURLはこちら。

まずこのサイトの危険度についてノートンの「セーブウェブ」で調べてみましたところ
注意が必要なサイトとして認識されていました。

このURLで使われているドメインは”up.donineresuner.com”です。
では引き続きこのドメインの持ち主や割り当て地なども調べたいと思います。

持ち主は、当サイトのご常連であるアメリカアリゾナ州フェニックスのとある企業様。
このドメインを割当てているIPアドレスは”83.229.4.43”って事なので、このIPアドレスを元に
その割り当て地を確認してみます。

抽出された場所は東京都江東区付近。
利用されているプロバイダーは、ルクセンブルクにある「G-CORE LABS S.A.」
安全な方法を使ってリンクに接続してみると、当サイトでは見慣れたアマゾンのログイン
ページがあっさりと表示されました。

ウイルスバスターにも遮断されないので、まだあまり危険として認識されていないようです。
危うきに近づかずですよ!

見事な「ワードサラダ」が

さて、メールに戻りHTML形式で書かれているこのメールをテキスト表示に切換えてみると
このように表示されました。(;^_^A

HTMLの時とは違い、意味不明な記号や文字が埋め込まれています。
これじゃ普通では読めませんよね。
これは「ワードサラダ」と呼ばれる手法で、先に説明したメールサーバーに設置された
迷惑メールの仕分けをする「スパムフィルター」を混乱させるための手段です。
こうすることで、スパムメールとして認識されず”[spam]”と追記されたり迷惑メール
フォルダーに振り分けられることなく受信者に届けることを目的としています。
でも、このメールは残念ながらうちのサーバーにしっかりと見抜かれてしまいましたね(笑)

まとめ

久方ぶりに本格的な「ワードサラダ」を拝むことができました。
まあ、彼らの努力は残念ながら徒労に終わったわけですが…
それにしてもわたし、どんだけアカウントを停止されば済むのでしょうか…(^^ゞ

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る

迷惑メールIPアドレス,Message ID,Received,Return-Path,Site Safety Center,SMS,SPAM,up.donineresuner.com,wa-mi.com,znserena.com,アカウントが停止されて、,カスタマセンターからのご案内,サイバーアタック,サイバー犯罪,スミッシング,ドメイン,なりすまし,フィッシング詐欺,フェニックス,ヘッダーソース,ワードサラダ,偽サイト,千代田区九段,拡散希望,杭州市,江東区,注意喚起,福島市,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart