意味深で中途半端な件名似ているようで似ていないAmazonに成りすましたメールが届きました。 もちろんフィッシング詐欺メールです。 色々といちゃもんの付け所がありますが、それは後にして、まずはメールのプロパティーから 見ていきましょう。 件名は 「[spam] Amazon.cojpでのご注文250-9314068-2502242 (1点)異常な」 わざとですかね?「異常な」なんて意味深な最後で終わるまた中途半端な件名ですね。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Amazon” <amazon-notice7@msqdhfx.cn>」 なんでAmazonなのにドメインが”msqdhfx.cn”なの? アマゾンなら”amazon.co.jp”でしょ?バカバカしい…
中国系の国内サーバーが発信地では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amazon-notice7@msqdhfx.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<004d4148cd89$1d3c6ba4$d9d1c589$@amazon.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from msqdhfx.cn (unknown [202.61.191.100])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
ではまず、この”msqdhfx.cn”ってドメインについて調べてみます。 このドメインに割当てているIPアドレスは”202.61.191.100”で”Received”と同じものなので メールアドレスの偽装はされていないようです。 この”Received”にあったIPアドレス”202.61.191.100”を使ってそのサーバーの情報を 拾ってみます。 表示された場所は、東京都千代田区九段南付近。 接続プロバイダー名は「CTG Server Ltd」と中国系のIT企業名が書かれています。 このメールはこの付近のメールサーバーから送られてきたようです。
本物と比較してみると…では、突っ込みどころ満載の本文を見ていきます。 これは、最初の段落以外のところだけ注記を入れてたものです。 で最初の段落はテキストで比較してみます。 詐欺メールお客様Amazon.co.jpでお買い物いただきありがとうございます。 アマゾン入居販売者トピックス[迅速リリースご対象店]からご注文を承りましたので、 出荷を手配いたします。 詳しくは私の注文を確認してください。商品発送後、電子メールでお知らせいたします。 | 本物のメール〇× 様Amazon.co.jp をご利用いただき、ありがとうございます。 Amazonマーケットプレイス出品者「*********」がお客様のご注文を承ったことを お知らせいたします。 詳細は、注文履歴からご確認ください。 商品が発送されましたら、Eメールにてお知らせいたします。 |
このように全然違います。 詐欺サイトのコピー技術には驚きますが、メールのコピーはできないのでしょうか?(笑) 「注文の詳細を見る」と書かれた黄色いボタンにフィッシング詐欺サイトへのリンクが 付けられています。 そのリンク先のURLはこちら。 このサイトの危険性をノートンの「セーフウェブレポート」で確認してみました。 脅威レポートに「既知の危険な Web ページです。このページを表示しないことを推奨します」 と書かれており、既に危険なサイトとして認識されていました。 このURLで使われているドメインは、サブドメインを含め”iructrxerx.zxctxoinae.shop” このドメインについても調べてみます。 このドメインの持ち主は、アメリカアリゾナ州フェニックスにあるご常連さん企業した。 このドメインをドメインを割当てているIPアドレスは”173.82.26.132” このIPアドレスを元にその割り当て地を確認してみます。 表示された地図は、ロサンゼルス近郊 ここに設置されたウェブサーバーで運営されているのは、このようなアマゾンの偽サイトです。 「請求の詳細と書類を提出する」と書かれているボタンを押しても接続できませんでしたので 既に閉鎖してしまったようです。
まとめ相変わらずアマゾンに成りすましたフィッシング詐欺メールは断トツの首位独走中です。 アマゾンには「アカウントサービス」に「メッセージセンター」というページがあります。 アマゾンからのメールは全てここに保存されていますので、怪しいメールが届いた際は そちらを確認してみることをお勧めいたします。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |