うれしいような悲しいような…気が付けば、詐欺メール系のエントリーが800を超えました。 それだけフィッシング詐欺が多いと言うことで安易に喜んではいられない数字です。 ふたを開けてみれば、週末なのに今朝もおびただしい数のフィッシング詐欺メールまがいの メールが届いておりました。 既出ものばかりなのでこれら全部をご紹介しようとは思いませんが、その中から新種のものを 1つ取り上げてみたいと思います。 そのメールがこちらです。 また、アマゾンの名を借りたフィッシング詐欺メール。 例によって難しい言葉をちりばめて受信者を不安に陥らせてリンクに誘い込んで リンク先の詐欺サイトにおびき寄せようとするものです。 では、このメールのプロパティーから見ていきます。 件名は 「[spam] 【Amazon個人情報の安全性】支払い方法を更新してください」 雰囲気的になんとなく分かるでしょ?(笑) それ以前にこのメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Amazon.co.jp” <amazonp-co-jp@triumbest.net.cn>」 毎度、毎度、いちいち書くのも面倒なのですが、アマゾンが自社ドメイン以外を使った メールアドレスでユーザー宛にメールを送ることはありません。 もちろんユーザー以外にもですよ! それにあからさまな中国のドメインでなんて…(-_-;) それに、このメールアドレスだって偽装かもしれませんしね。
メールは中国奥地からでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amazonp-co-jp@triumbest.net.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<1FCE558B2F10F5896F1128BC6F0EB636@wpi>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mail.triumbest.net.cn (unknown [182.151.51.174])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。 表示された地図は、中国奥地でネパールとの国境「四川省 雅安市 ドンパ」付近の地図。 あくまでこの位置は、差出人の居場所ではなく利用されたメールサーバーの場所。
なぜこんな難しい言い回しするの?引続き本文を見ていきます。 Amazonアカウントのエラーまたは不完全なプロファイルにより、 システムは残念ながら高リスクのアカウントに設定されており、 アカウントと対応する機能の権限が部分的にロックされています。Amazonアカウントのロック解除にご協力ください。 以下のリンクを使用して、Amazon Webサイトにアクセスし、情報を更新してください。 |
「不完全なプロファイル」「対応する機能の権限」 いつも思うのですが、なぜこんな難しく不自然な言い回しするのでしょうか? 機械翻訳するとこうなってしまうのでしょうか? どちらにしてもコレはリンクを押させるための口実。 そのリンクは「Amazon支払い情報を更新する」と書かれた黄色いボタンに 仕込まれています。 そのリンク先のURLがこちらです。 まず最初にこのURLの危険性についてトレンドマイクロの「サイトセーフティーセンター」で 確認してみましょう。 このように業界ではすでに危険と認識しているようでそのカテゴリは「正規のWebサイトを 偽装してユーザ名やパスワードなどの情報を収集する詐欺サイトです。」と書かれています。 まさにフィッシング詐欺サイトです。 次にここで使われているドメイン”jji9978.amzzanoioan.vip”について、その持ち主と 割り当て地を確認してみます。 まずは持ち主から。 これによると、このドメインの持ち主はアメリカ,カリフォルニア州,サンマテオにある企業。 「Creation Date: 2022-02-18T10:36:49.0Z」とあるので取得したばかりです。 次にドメインを割当てているIPアドレスは”198.144.183.214”なので、このIPアドレスを使い その割り当て地を確認してみます。 表示されているのは、アメリカのシカゴ付近の地図。 このような場所に設置されているウェブサーバー内で、危険なフィッシング詐欺サイトを 開いているんです。 安全な方法でリンク先へ訪れてみると、当たり前のように偽のアマゾンのログインページが 開きました。 ここでアマゾンのアカウント情報が詐取され、この先で、個人情報やクレジットカードの 情報まで盗み取るのが奴らの常套手段です。
まとめ今朝の詐欺メール17通中にアマゾンを名乗るものが9通。 本当にアマゾンに成りすます詐欺メールが横行しており、もう私にとってはそれが日常 となっています。 もう諦めるしかないのでしょうか…トホホ(/_;) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |