『詐欺メール』「【重要】お支払方法に問題があり、プライム特典をご利用いただけない状況です」と、来た件

”amazon”じゃなくて”amazono”

アマゾンに成りすましたフィッシング詐欺メールは本当に多くて、毎日手を焼いております。
今朝も、複数の成りすましが到着しており、その中からこのメールをご紹介てみようと思います。

どうやら、プライム会員の会費が何らかの理由で支払うことができなかった旨の連絡のようです。
では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【重要】お支払方法に問題があり、プライム特典をご利用いただけない状況です。」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"Amazon.co.jp" <amazono-acccount-updater@56tyw.net>」
”amazon”じゃなくて”amazono”だって。
そして”account”ゃなくて”acccount”と…(笑)
それに「アマゾン」さんには、れっきとした”amazon.co.jp”ってドメインをお持ちです。
それなのにこのような”56tyw.net”なんて関連性の無いドメインのメールアドレスで大切なユーザーに
メールを送るなんて言語道断です！
皆さんは、ここに気づいてください！

使えるはずの無いドメインで？！

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、”56tyw.net”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか？

どうやらこのドメインはどのIPアドレスにも割り当てられていないようです。
割当てられていないってことは、使えないドメインなのでこのドメインのメールアドレスから
メールを送ることはできません。
したがって、このメールアドレスは偽装です！

”Received”のIPアドレス”121.33.128.240”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのは、香港の北西部にあたる広東省広州市付近。
ここに差出人が利用したメールサーバーが置かれているようです。

詐欺サイトは一時停止中

では引き続き本文。

もっともらしいことが書かれていますね。
この釣り文句で本文に付けられたリンクを押させようって手口です。
そのリンクは「会員特典とお支払い方法の確認」って書かれたところに張られていて、
リンク先のURLがこちらです。

アマゾンのアカウントサービスのURLが、全くアマゾンに関係の無いドメインのものって
おかしいですよね？

使われているドメインは”wizkajga51.vip”
割当てているIPアドレスを調べてみると。

このドメインを割当てているIPアドレスは”23.94.143.163”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、マンハッタンにあるブルックリン大橋のたもと辺り。
この付近に設置されたウェブサーバーで偽サイトは構築されているようです。

安全な方法でリンク先の詐欺サイトに調査目的で訪れてみましたが、既にサイトは停止しているようで
リダイレクトされlocalhostに飛ばされました。

まとめ

サイトが停止しているからと言って安心しないでください！
一旦はサイトの機能は停止されていますが、ご覧いただいた通りIPアドレスとドメインの紐づけはされたまま。
詐欺師の気が向けばいつでも再開できる状態です。
商品案内以外のアマゾンからのメールは、全てアカウントサービスのメッセージセンターに保存されています。
まず、不審なメールが届いたらこのメッセージセンターでそのメールがアマゾンからのものであるかどうか
ご確認ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;