『詐欺メール』「【Amazon】注文状況をご確認ください」と、来た件

メールアドレスは偽装

アマゾンの名を騙り、大雪で配達情報を紛失したと嘘を付きアカウント情報を更新しろと
書かれた間抜けなメールがられてきました。

本文については後程触れていきますが結構面白い内容となっています。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 【Amazon】注文状況をご確認ください」
フィッシング詐欺メールではありがちな件名ですね。
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon.co.jp” <account-update@amazon.co.jp>」
ぱっと見アマゾンからのメールに見えますが、件名の”[spam]”が示す通りこのメールは
フィッシング詐欺メールですからそんなはずはありません。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

もしこのメールが本当にアマゾンからだとすれば、”amazon.co.jp“に割当てられている
IPアドレスは”Received”に記載されているものと同じでなければありません。
では、”amazon.co.jp“に割当てられているIPアドレスを確認してみましょう！

赤枠で囲った数字が”amazon.co.jp“に割当てられているIPアドレスです。
”Received”に記載のあった”160.251.59.132″とは1つたりともかすりもしませんよね？
これでこのメールアドレスは偽装されているものであると断定できました。

じゃいったい誰がどこからこのようなメールを送り付けてきたのでしょうか？
では今度は”160.251.59.13”ってIPアドレスについて調べてみることにします。

これによるとこのドメインはGMOの持ち物になっていますね。
それ以上のことはここでは分かりませんでした。

大雪で配達情報が紛失だって…(笑)

では、本文を見ていきましょう。

何だこれ？って…笑っちゃうでしょ？

文章に赤丸を付けておきましたが、相当日本語が苦手の方のようです。(;^_^A
関東では確かに2月10日から11日にかけて大雪が降りましたが、それによって配達情報を
紛失してしまうなんて馬鹿げています。
それに百歩譲ってもしそうだとしても注文履歴を調べれば済むはず。
わざわざメールを送ってきたのだからこちらが注文していることは分かっているはずです。
この方、リンクを押させるために一生懸命考えられたと思うのですが残念な文章です…
そのリンク先と言うのはこちらのURLのサイトです。

まずこのサイトの危険性についてトレンドマイクロの「サイトセーフティーセンター」で
確認してみました。

サイトの安全性の評価は「危険」と出ています。
「正規のWebサイトを偽装してユーザ名やパスワードなどの情報を収集する詐欺サイトです」
と書かれていますね。

このURLで使われているドメインはサブドメインを含め”amazon.tjluck.com”です。
では、このドメインも持ち主と割り当て地を確認してみます。

これによると、このドメインの持ち主は「Domain ID Shield Service」と言う
香港にある企業。

このドメインを割当てているIPアドレスは”154.204.45.171”
その割り当て地はこちらでした。

香港の山間に地図が表示されました。
利用しているプロバイダーも香港の「Sondercloud Limited」と出ています。

ここで運営されている詐欺サイトは、もちろんアマゾンの偽サイト。

絶対にログインしてはいけません！
アカウント情報が盗まれると、成りすまして大量にの買い物をされてしまいます。

まとめ

それにしてもひどい日本語でしたね。
こんなので騙される人いるのでしょうか？
騙されたくっても騙されられません…(笑)
おかしなメールが多いのでお気を付けください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;