「Amazon.co.jp ご登録のアカウント(名前、パスワード、その他個人情報)の確認」というメールが来たから解析してみた【詐欺】


公開日:

Amazon.co.jp ご登録のアカウント(名前、パスワード、その他個人情報)の確認というメールがきました。

このメールヘッダーを解析してみます。

送信元メールアドレスは、”amazon.co.jp” <support@amazon.co.jp>となっています。

ところが、リターンパスをみると、

となっています。

メルマガなどではこういうこともまあなくはいないですが、Amazonだというならこれはちょっと不審です。

リターンパスには大抵の場合真の送信者のメールアドレスが入っているので、初心者の人はまずここを見ると良いかも知れません。

では次にこのjun.netのwhois情報を調べてみます。

となっていて、ドメインパーキングになっているようです。

ではどこから送信されてきたのか、ホスト名、IPアドレスから追ってみましょう。

となっています。

v160-251-0-69.5t62.static.cnode.ioは、cnode.ioのサブドメインです。

cnode.ioのwhois情報を見てみます。

レジストラはGMOのお名前.comみたいですね。

IPアドレスを調べると、

こちらもGMOのようですね。

いったいどこに誘導するつもりなのか、調べてみます。

メール本文はBase64でエンコードされているので、デコードします。

また例によって、リンク先URLの先頭にはhttps://amazon.co.jpがくっついていますね。

ただ、amazon.co.jp.updgkl.myhhkm.phはmyhhkm.phのサブドメインですから、myhhkm.phのwhoisやサーバーを調べてみます。

.phはフィリピンのドメインです。

ドメインレジストラは、中国のhttps://www.net-chinese.com.tw/でした。

amazon.co.jp.updgkl.myhhkm.phのIPアドレスを調べてみると143.92.48.223とのこと。

調べてみると、香港のクラウドホスティング会社のIPみたいですね。

ただ、管理者はこちらのようです。

rackip.com(RACKIP CONSULTANCY PTE LTD、シンガポール)という会社ができました。

どんな会社なのでしょうか。

確認してみると、IPV4アドレスを購入・販売・リースする、とあります。

つまり、上記のIPアドレスもそうしたIPアドレスである可能性があるということですね。

なお、このサイトにクロームでアクセスしてみると、以下のようにアクセス制限がかかります。

安全な形でアクセスしてみると、

上記のように、入力ページに飛ばすフィッシングサイトだと分かります。

要約すると、

中国のレジストラで管理しているフィリピンドメインを、シンガポールのIPV4アドレスの販売・リース会社から手に入れたIPを香港のクラウドに割り振り、フィッシングサイトを運営、そのフィッシングサイトに誘導するメールを、日本のGMOのサーバーを使って身元を偽装して配信している、と考えることができます。

Amazonが全然出てきませんね、出てくるのはアジアのサービスばかりです。

もちろん詐欺メールだというのは直感的にわかるかもしれませんが、こうして詳しく見てみるとそれが良くわかります。


カテゴリ:
タグ:,



関連記事