『詐欺メール』「Prime会員サービスの有効期限が近づいています」と、来た件

アマゾンからのメールはメッセージセンターで確認
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

AmazonじゃなくてAmmazon

アマゾンに成りすましたフィッシング詐欺メールの新種が届きました。
と言っても、中身はよくある会費が引き落とせないと言った内容です。

では、件名から見ていきましょう。

件名は
「[spam] Prime会員サービスの有効期限が近づいています」
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Ammazon.co.jp” <no-reply@amazon.co.jp>」
意図的なのか間違いなのか、よく見るとAmazonじゃなくてAmmazonと”m”が1個余分に
入っていますね。(笑)
それに”amazon.co.jp”と正規ドメインが使われていますが、そんなのは嘘で偽装されています。

見え見えな偽装工作

では、その偽装を含めこのメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amozon-update@ao8am1.shop>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
ここは本来少なくとも差出人のメールアドレスと同じドメインが含まれるはずですが
全く異なる”ao8am1.shop”なんてドメインが書かれています。
Message-ID:「<0069a6a57c88$664b8858$e5ca4428$@yilsckbzs>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from ao8am1.shop (ao8am1.shop [113.31.105.144])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

Return-Path”や”Received”に書かれている”ao8am1.shop”というドメイン。
1つ前のエントリーで見たことあるような気がしたので確認してみるとやはり。
この時は”am9n9.shop”ってドメインが使われていましたので恐らく同一犯ポイですね。

では、この”Received”にあったIPアドレスを使ってその持ち主と割り当て地を調査しました。

持ち主は、中国黒竜江省の方。
このドメインの管理は中国のアリババクラウドに委託されています。

次にこのIPアドレス”113.31.105.144”の割り当て地を確認してみました。

表示されたのは中国の上海市付近の地図。
こんなところに設置されたメールサーバーからアマゾンに成りすましたメールを発信して
いるんですね。

面倒なのでいちいち見に行きません

つたない日本語で書かれた本文は、リンクを押させるための口実。
そのリンク先のURLはこちら。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で
確認してみました。

既に危険なサイトであることは周知済み。
カテゴリは「詐欺サイト」とされています。

リンク先は、どうせアマゾンのログインページを模したコピーページなのでいちいち見には
行きません。(笑)

アマゾン正規メールの見分け方

アマゾンには「アカウントサービス」に「メッセージセンター」というページがあるのを
ご存じでしょうか?

正規アマゾンから発信されたメールは、必ず同じものがこの「メッセージセンター」にも
保存されています。
もしアマゾンから届いたメールで不審なものかも知れないと思ったら「メッセージセンター」
で確認することをお勧めします。

まとめ

もうアマゾンを騙る詐欺メールは多すぎて面倒です。
アマゾンからのメールにあるリンクは、たとえ正規のアマゾンからのものであろうとも
私は押さないように心掛けています。
必要であればスマホアプリか検索して表示されたサイトを利用することが一番安全です。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る

迷惑メールAmmazon.co.jp,ammozon,amozon-update,ao8am1.shop,IPアドレス,Message ID,Prime会員サービスの有効期限が近づいています,Received,Return-Path,Site Safety Center,SPAM,アマゾン,アマゾン正規メールの見分け方,サイバーアタック,サイバー犯罪,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メッセージセンター,偽サイト,拡散希望,注意喚起,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart