サイトアイコン HEARTLAND

『詐欺メール』「【Amazon】注文状況をご確認ください」と、来た件

大雪を口実に
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

メールアドレスは偽装

アマゾンの名を騙り、大雪で配達情報を紛失したと嘘を付きアカウント情報を更新しろと
書かれた間抜けなメールがられてきました。

本文については後程触れていきますが結構面白い内容となっています。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 【Amazon】注文状況をご確認ください」
フィッシング詐欺メールではありがちな件名ですね。
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon.co.jp” <account-update@amazon.co.jp>」
ぱっと見アマゾンからのメールに見えますが、件名の”[spam]”が示す通りこのメールは
フィッシング詐欺メールですからそんなはずはありません。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<cqiwkddek@amazon.co.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<801834ACF00FE94C54131954B45A2871@amazon.co.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from amazon.co.jp (v160-251-59-13.q0jk.static.cnode.io [160.251.59.13])」

static.cnode.io”とあるので、古くからのフィッシング詐欺師の仕業ですね。
Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

もしこのメールが本当にアマゾンからだとすれば、”amazon.co.jp“に割当てられている
IPアドレスは”Received”に記載されているものと同じでなければありません。
では、”amazon.co.jp“に割当てられているIPアドレスを確認してみましょう!

赤枠で囲った数字が”amazon.co.jp“に割当てられているIPアドレスです。
Received”に記載のあった”160.251.59.132″とは1つたりともかすりもしませんよね?
これでこのメールアドレスは偽装されているものであると断定できました。

じゃいったい誰がどこからこのようなメールを送り付けてきたのでしょうか?
では今度は”160.251.59.13”ってIPアドレスについて調べてみることにします。

これによるとこのドメインはGMOの持ち物になっていますね。
それ以上のことはここでは分かりませんでした。


大雪で配達情報が紛失だって…(笑)

では、本文を見ていきましょう。

何だこれ?って…笑っちゃうでしょ?

2月10日後の降雪により、注文の配達情報が関東地方に紛失してしまいました。
大変お手数ですが、配送を影響しないように、早めにそちらのアカウント請求書受取住所
及びアカウント情報を補充してください。注文番号:D01-6435435-0002015
注文日: 2022/02/13(日曜日)
お支払い方法: クレジットカード決済

以下のURLでアカウント情報を更新してください

文章に赤丸を付けておきましたが、相当日本語が苦手の方のようです。(;^_^A
関東では確かに2月10日から11日にかけて大雪が降りましたが、それによって配達情報を
紛失してしまうなんて馬鹿げています。
それに百歩譲ってもしそうだとしても注文履歴を調べれば済むはず。
わざわざメールを送ってきたのだからこちらが注文していることは分かっているはずです。
この方、リンクを押させるために一生懸命考えられたと思うのですが残念な文章です…
そのリンク先と言うのはこちらのURLのサイトです。

まずこのサイトの危険性についてトレンドマイクロの「サイトセーフティーセンター」で
確認してみました。

サイトの安全性の評価は「危険」と出ています。
「正規のWebサイトを偽装してユーザ名やパスワードなどの情報を収集する詐欺サイトです」
と書かれていますね。

このURLで使われているドメインはサブドメインを含め”amazon.tjluck.com”です。
では、このドメインも持ち主と割り当て地を確認してみます。

これによると、このドメインの持ち主は「Domain ID Shield Service」と言う
香港にある企業。

このドメインを割当てているIPアドレスは”154.204.45.171
その割り当て地はこちらでした。

香港の山間に地図が表示されました。
利用しているプロバイダーも香港の「Sondercloud Limited」と出ています。

ここで運営されている詐欺サイトは、もちろんアマゾンの偽サイト。

絶対にログインしてはいけません!
アカウント情報が盗まれると、成りすまして大量にの買い物をされてしまいます。


まとめ

それにしてもひどい日本語でしたね。
こんなので騙される人いるのでしょうか?
騙されたくっても騙されられません…(笑)
おかしなメールが多いのでお気を付けください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了