”amazon”ではなく”arnazon”次から次へとよくもまぁ届くものです。 今回はアマゾンを騙ったフィッシング詐欺メールで、この件名でのエントリーは初めてです。  内容は、適当に訳の分からない理由をこじ付けてリンクから詐欺サイトへ誘導するもの。 件名は 「[spam] Amazon.co.jp:アマゾンからの重要なお知らせ」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「Amazon.co.jp <arnazon@agbnuly.cn>」 いつものくだりで恐縮ですが、”Amazon.co.jp”と名乗っているにも関わらず ”arnazon@agbnuly.cn”ってのは何ぞやって話。 ”m”のままにしとけばいいのにわざわざ”rn”する必要はどこにあるんでしょうかね? そして”agbnuly.cn”なんて中国のドメイン使ってるし。 なんで、アマゾンなんてIT企業が自社ドメインではない中国のドメインを使って ユーザー宛に大切な情報のメールを送るんですか!
天安門広場の東側に何がある?では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<arnazon@agbnuly.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<DBD84BEB3F8F6213A633AF9D39383D08@pldgsyj>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from agbnuly.cn (agbnuly.cn [106.75.223.190])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず、このメールアドレスに使われていたドメイン”agbnuly.cn”の情報を拾ってみます。  このドメインの持ち主は、私には読むことのできない文字を含む漢字2文字の氏名の方。 そしてこのドメインの管理を委託されているのは中国企業のアリババ。 この2つから持ち主がどの国の方か想像つきますよね? このドメインを割当てているIPアドレスは”106.75.223.190” このIPアドレスを元にその割り当て地を確認してみます。  最近ここが多いですね(汗) ピンが立てられた位置は、中国北京市の天安門広場の東側辺り。 どうやらこの地域は詐欺メールサーバーの集中地帯になっているようです。
サイトは無防備な状態で放置中!本文はこんな感じです。 お客様 システムは異常な注文ステータスを検出しました。 特定の詳細を表示するには、 アカウントにログインする必要があります。 (このメッセージは自動的に送信され、エラーメッセージが表示される場合があります。 詳細を表示するには、アカウントにログインする必要があります。)ご利用確認はこちら: |
まず、冒頭の宛名。 アマゾンからのメールならアマゾンのアカウント登録に使った氏名が宛名として使われるはず。 このような万人受けするような宛名は使いません。 アマゾンが「システムは異常な注文ステータスを検出しました」なんて難しい日本語なんて 使いませんよ。 無理やり機械翻訳してしまうからこのような分かりにくい日本語になってしまうのです。 「ご利用確認はこちら:」と書かれた後に詐欺サイトへのリンクが直書きされています。 そのURLはこちらです。  このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。  まだ新しいサイトのせいなのか「未評価」とされていますね。 早速「評価内容変更のリクエスト」を申請しておきました。 このURLで使われているドメインは、サブドメインを含め”www.fxnzp.com” このドメインも情報を拾ってみます。  残念ながらその殆どがプライバシー保護でマスクされていました。 このドメインを割当てているIPアドレスは”204.44.88.12” このIPアドレスを元にその割り当て地を確認してみます。  こちらも詐欺サイトのメッカであるロサンゼルス近郊のリトルトーキョーにほど近い場所に ピンが立てられました。 しかしここにはどれだけの詐欺サイトが有るのでしょうか?(-_-;)
危険を承知で、安全な方法でリンク先サイトに訪れてみると。 ウイルスバスターに遮断されることなく無防備な状態でアマゾンの偽サイトが開かれました。  とても危険な状態なので一時でも早く対策してほしいものです。
まとめアマゾンの成りすましは、もう出きったと思っていましたがまだまだありそうですね。 新型コロナと同じように、新しいものが出てくると、やはり騙される方も多くなりますので 十分にご注意いただくようお願いいたします。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |