AmazonじゃなくてAmmazonアマゾンに成りすましたフィッシング詐欺メールの新種が届きました。 と言っても、中身はよくある会費が引き落とせないと言った内容です。 では、件名から見ていきましょう。 件名は 「[spam] Prime会員サービスの有効期限が近づいています」 このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Ammazon.co.jp” <no-reply@amazon.co.jp>」 意図的なのか間違いなのか、よく見るとAmazonじゃなくてAmmazonと”m”が1個余分に 入っていますね。(笑) それに”amazon.co.jp”と正規ドメインが使われていますが、そんなのは嘘で偽装されています。
見え見えな偽装工作では、その偽装を含めこのメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amozon-update@ao8am1.shop>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 ここは本来少なくとも差出人のメールアドレスと同じドメインが含まれるはずですが 全く異なる”ao8am1.shop”なんてドメインが書かれています。 | Message-ID:「<0069a6a57c88$664b8858$e5ca4428$@yilsckbzs>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ao8am1.shop (ao8am1.shop [113.31.105.144])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Return-Path”や”Received”に書かれている”ao8am1.shop”というドメイン。 1つ前のエントリーで見たことあるような気がしたので確認してみるとやはり。 この時は”am9n9.shop”ってドメインが使われていましたので恐らく同一犯ポイですね。 では、この”Received”にあったIPアドレスを使ってその持ち主と割り当て地を調査しました。 持ち主は、中国黒竜江省の方。 このドメインの管理は中国のアリババクラウドに委託されています。 次にこのIPアドレス”113.31.105.144”の割り当て地を確認してみました。 表示されたのは中国の上海市付近の地図。 こんなところに設置されたメールサーバーからアマゾンに成りすましたメールを発信して いるんですね。
面倒なのでいちいち見に行きませんつたない日本語で書かれた本文は、リンクを押させるための口実。 そのリンク先のURLはこちら。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で 確認してみました。 既に危険なサイトであることは周知済み。 カテゴリは「詐欺サイト」とされています。 リンク先は、どうせアマゾンのログインページを模したコピーページなのでいちいち見には 行きません。(笑)
アマゾン正規メールの見分け方アマゾンには「アカウントサービス」に「メッセージセンター」というページがあるのを ご存じでしょうか? 正規アマゾンから発信されたメールは、必ず同じものがこの「メッセージセンター」にも 保存されています。 もしアマゾンから届いたメールで不審なものかも知れないと思ったら「メッセージセンター」 で確認することをお勧めします。
まとめもうアマゾンを騙る詐欺メールは多すぎて面倒です。 アマゾンからのメールにあるリンクは、たとえ正規のアマゾンからのものであろうとも 私は押さないように心掛けています。 必要であればスマホアプリか検索して表示されたサイトを利用することが一番安全です。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |