『詐欺メール』「申し訳ありませんが、Amazonアカウントのセキュリティを確認してください」と、来た件

heart

3年前

最後に「ご愉快なご生活を」で締める(笑)

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

件名に「申し訳ありませんが」って

アマゾンを騙りながら日本語が得意じゃないフィッシング詐欺メールが到着。

このメールもプロパティーから見ていきましょう。

件名は
「[spam] 申し訳ありませんが、Amazonアカウントのセキュリティを確認してください」
メールの件名に「申し訳ありませんが」とはどうなんでしょうね？
初めて見た気がします。(笑)
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”amazon” <amazon.jp>」
アマゾンのよく知られているドメインは”amazon.co.jp”ですが、大企業は有名どころの
トップレベルドメインを押さえているので”amazon.jp”もアマゾンのものです。
ですが、件名に”[spam]”とスタンプされているので既に詐欺メール判定されています。
なのでこのメールアドレスは偽装されています。
その辺りも含め、次項で詳しく見ていきましょう。

本当のメールアドレスは”***@95kan.cn”

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<service@95kan.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
”95kan.cn”なんてドメイン…早速ボロが出てしまいましたね。(;^_^A

Message-ID:「<347A0695FB4ADA7B55E029D36382A3EA@zukhdhb>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from 95kan.cn (95kan.cn [172.245.185.199])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、メールアドレスにあったドメイン”amazon.jp”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金

さて、今回はどうでしょうか？

”Received”に書かれているものには似ても似つかぬIPアドレスが表示されていますので
この差出人のメールアドレスは偽装確定！
しっかり罪を償ってください！！

”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ホスト名に”95kan.cn”と書かれているので、やはりこのIPアロレスにはこのドメインが割当て
られているようです。
地図にピンが立てられたのは、ニューヨークバッファローのダウンタウン脇付近。
このメールはこの付近に置かれたメールサーバーを介して送られてきたようです。

「Amazon お客様」は要注意！

引き続き本文です。
宛名が「Amazon お客様」
皆さん、アマゾンをご利用になったことが有れば分かると思いますが、宛名には必ず
ユーザー登録した際の氏名が使われます。
ですから、アマゾンからのメールでここが氏名では無いものは偽物と思ってください。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「所有権の証明」って意味の分からないことが書かれている黄色いボタンに
張られていて、リンク先のURLがこちらです。

でも、ここに繋いでみるとリダイレクトされて別の腰hらのURLから始まるサイトに接続
されます。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

未評価とされていて野放しの状態になっているようです。
一刻も早く対応していただけるように評価内容変更のリクエストを入れておきました。

このURLで使われているドメインは”amonsanajp.gq”
このドメインにまつわる情報を取得してみます。

IPアドレス以外全く情報を得ることはできませんでした。(;^_^A

このドメインを割当てているIPアドレスは”35.189.150.228”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられた位置は、なんと国内の東京都杉並区和泉付近です。
このような場所に設置されたウェブサーバーで詐欺サイトは運営されているようです。

安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
すると、ウイルスバスターに遮断されることなく無防備に放置されたアマゾンの偽サイトに
接続されました。

危険ですから絶対にログインしないでください。

まとめ

今時アマゾンの偽メールに騙される方はいらっしゃらないかと思いますが、
受け取ったことの無い件名でしたのでご紹介させていただきました。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)