『詐欺メール』「Amazon.cojpでのご注文250-9314068-2502242 (1点)異常な」と、来た件

日中入り混じった
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

意味深で中途半端な件名

似ているようで似ていないAmazonに成りすましたメールが届きました。
もちろんフィッシング詐欺メールです。

色々といちゃもんの付け所がありますが、それは後にして、まずはメールのプロパティーから
見ていきましょう。

件名は
「[spam] Amazon.cojpでのご注文250-9314068-2502242 (1点)異常な」
わざとですかね?「異常な」なんて意味深な最後で終わるまた中途半端な件名ですね。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Amazon” <amazon-notice7@msqdhfx.cn>」
なんでAmazonなのにドメインが”msqdhfx.cn”なの?
アマゾンなら”amazon.co.jp”でしょ?バカバカしい…

中国系の国内サーバーが発信地

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amazon-notice7@msqdhfx.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<004d4148cd89$1d3c6ba4$d9d1c589$@amazon.co.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from msqdhfx.cn (unknown [202.61.191.100])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

ではまず、この”msqdhfx.cn”ってドメインについて調べてみます。

このドメインに割当てているIPアドレスは”202.61.191.100”で”Received”と同じものなので
メールアドレスの偽装はされていないようです。

この”Received”にあったIPアドレス”202.61.191.100”を使ってそのサーバーの情報を
拾ってみます。

表示された場所は、東京都千代田区九段南付近。
接続プロバイダー名は「CTG Server Ltd」と中国系のIT企業名が書かれています。
このメールはこの付近のメールサーバーから送られてきたようです。

本物と比較してみると…

では、突っ込みどころ満載の本文を見ていきます。
これは、最初の段落以外のところだけ注記を入れてたものです。

で最初の段落はテキストで比較してみます。

詐欺メール

お客様

Amazon.co.jpでお買い物いただきありがとうございます。
アマゾン入居販売者トピックス[迅速リリースご対象店]からご注文を承りましたので、
出荷を手配いたします。
詳しくは私の注文を確認してください。商品発送後、電子メールでお知らせいたします。
 本物のメール

〇× 様

Amazon.co.jp をご利用いただき、ありがとうございます。
Amazonマーケットプレイス出品者「*********」がお客様のご注文を承ったことを
お知らせいたします。
詳細は、注文履歴からご確認ください。
商品が発送されましたら、Eメールにてお知らせいたします。

このように全然違います。
詐欺サイトのコピー技術には驚きますが、メールのコピーはできないのでしょうか?(笑)

「注文の詳細を見る」と書かれた黄色いボタンにフィッシング詐欺サイトへのリンクが
付けられています。
そのリンク先のURLはこちら。

このサイトの危険性をノートンの「セーフウェブレポート」で確認してみました。

脅威レポートに「既知の危険な Web ページです。このページを表示しないことを推奨します」
と書かれており、既に危険なサイトとして認識されていました。

このURLで使われているドメインは、サブドメインを含め”iructrxerx.zxctxoinae.shop
このドメインについても調べてみます。

このドメインの持ち主は、アメリカアリゾナ州フェニックスにあるご常連さん企業した。
このドメインをドメインを割当てているIPアドレスは”173.82.26.132

このIPアドレスを元にその割り当て地を確認してみます。

表示された地図は、ロサンゼルス近郊
ここに設置されたウェブサーバーで運営されているのは、このようなアマゾンの偽サイトです。


「請求の詳細と書類を提出する」と書かれているボタンを押しても接続できませんでしたので
既に閉鎖してしまったようです。

まとめ

相変わらずアマゾンに成りすましたフィッシング詐欺メールは断トツの首位独走中です。
アマゾンには「アカウントサービス」に「メッセージセンター」というページがあります。
アマゾンからのメールは全てここに保存されていますので、怪しいメールが届いた際は
そちらを確認してみることをお勧めいたします。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールAmazon,amazon-notice7,Amazon.cojpでのご注文250-9314068-2502242 (1点)異常な,CTG Server,IPアドレス,iructrxerx.zxctxoinae.shop,Message ID,msqdhfx.cn,Received,Return-Path,Site Safety Center,SPAM,アカウントサービス,アマゾン,サイバーアタック,サイバー犯罪,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メッセージセンター,偽サイト,拡散希望,本物と比較,注意喚起,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart