「お支払い方法の情報を更新してください」というAmazonを騙るメールの分析


公開日:

「お支払い方法の情報を更新してください」というAmazonを騙るメールが確認されています。

Amazonプライムをご利用頂きありがとうございます。で始まる文面のもの、あなたのアカウントは一時的にロックされています。で始まる文面のものなど複数が確認されています。

Amazonプライムをご利用頂きありがとうございます。で始まる文面のものから分析してみます。

文面は以下の通りです。

Amazonプライムをご利用頂きありがとうございます。 

お客様のAmazonプライム会員資格は、2020/03/17に更新を迎えます。お調べしたところ、 会費のお支払いに使用できる有効なクレジットカードがアカウント に登録されていません。クレジットカード情報の更新、 新しいクレジットカードの追加については以下の手順をご確認くだ さい。

1.アカウントサービスからAmazonプライム会員情報を管理する にアクセスします。

3.Amazonプライムに登録したAmazon.co.jpのアカ ウントを使用してサインインします。

3.左側に表示されている「現在の支払方法」の下にある「 支払方法を変更する」のリンクをクリックします。

4.有効期限の更新または新しいクレジットカード情報を入力してくだ さい。

Amazonプライムを継続してご利用いただくために、 会費のお支払いにご指定いただいたクレジットカードが使用できな い場合は、アカウントに登録されている別 のクレジットカードに会費を請求させて頂きます。 会費の請求が出来ない場合は、 お客様のAmazonプライム会員資格は失効し、 特典をご利用できなくなります。

Amazon.co.jpカスタマーサービス

支払方法の情報を更新する

 送信元のFromを見ると、送信者名はamazon.jpとなっていますが、biofrufru[.]ruというロシアドメインが用いられています。

Return-Pathはexample.comになっており、偽装されています。

 Recievedを確認すると、148.251.53.170のIPアドレスから送信されています。

このサーバーはドイツにあるようです。

さて、誘導先を確認してみます。

 となっており、

https://japan-paladin-ama-zon-e[.]live/jp-jp/yoursjp/

というURLに誘導させています。

メールの文面の日本語自体も他のフィッシング詐欺メールと比較して非常にきれいな日本語となっていること、またこのurlの構成から見るに、明確に日本がターゲットであることが分かります。

このURLにアクセスしてみると、Amazonの偽のログイン画面が表示されます。

さて、あなたのアカウントは一時的にロックされています。で始まる文面のものも調査してみます。

あなたのアカウントは一時的にロックされています。

お客様各位,

アカウントの有効期限が切れており、24時間以内に停止されます。 問題を解決するために情報を更新してください。

ありがとうございました.

アカウントを更新する

敬具,

Amazon.co.jp

送信元を見てみると、

 amazon.jpとなっていますが、先のメールと同じようにbiofrufru[.]ruというドメインが使用されており、Return-Pathも先のメールと同様です。

送信元サーバーをチェックすると、

 となっており、これも先のサーバーと同様です。

つまり同一の攻撃者であると考えられます。

誘導先を見てみます。

 https://jpapna-ndezzou-fik-lkol[.]live/hajet/dajal/ というURLへ誘導しています。

このURLは先のURLと異なりますが、すでに詐欺サイトとしての通報がなされています。

アクセスしてみると、先と同様、Amazonの偽ログイン画面が現れます。

詐欺サイトですので、ログイン情報の入力、個人情報やクレジットカード情報の入力等を行わないようにしてください。


カテゴリ:
タグ:,,



関連記事