「Amazonからの緊急連絡」というメールが詐欺なのか分析する

公開日:2020/4/15

「Amazonからの緊急連絡」というメールがフィッシング詐欺なのかを調査します。

クレジットカードの不正利用が疑われたので停止した、ついてはアカウント情報を確認して欲しいという内容です。

文面は以下の通りです。

日頃はAmazonをご愛顧いただき、誠にありがとうございます。

第三者による不正利用が発生していないかどうかのモニタリングを行っております。

本メールは、現在お客様がお持ちのクレジットカードのご利用内容について、

第三者により不正利用された可能性が高いと、弊社の不正利用検知システムにより

判断いたしましたので、緊急でお送りさせていただいております。

なお、ご契約のカードは、第三者による不正使用の可能性が高いため、

既にカードのご利用を一旦停止する対応をとらせていただいております。

ご不便とご心配をお掛けしますが、何とぞご理解をいただきますようお願い申し上げます。

クリックしてアカウント確認を入力します

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

このメールの送信アドレスは送信専用となっておりますので、　

本メールへのご返信はご遠慮いただきますようお願いいたします。

電話でのご連絡より先に、メールが届く場合がございます。

誠に勝手ながらこのお知らせメールの配信停止はいたしかねます。　

あらかじめご了承ください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

発行元　Amazon.com, Inc

amazon.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

まず送信元を確認します。

From: Amazon <hxk@amazon.co.jp>
Return-Path: <hxk@amazon.co.jp>

1 2	From: Amazon <hxk@amazon.co.jp> Return-Path: <hxk@amazon.co.jp>

送信者名はAmazon、送信元メールアドレスとReturn-Pathはhxk@amazon.co.jpというメールアドレスになっています。

送信元のサーバーも確認してみます。

Received: from amazon.co.jp (v160-251-1-183.wcb6.static.cnode.io [160.251.1.183])

1	Received: from amazon.co.jp (v160-251-1-183.wcb6.static.cnode.io [160.251.1.183])

160.251.1.183というIPアドレスから送信されているようです。

inetnum:        160.251.0.0 - 160.251.255.255
netname:        interQ
descr:          GMO Internet, Inc.
descr:          CERULEAN TOWER,26-1 Sakuragaoka-cho,Shibuya-ku,Tokyo 150-8512,Japan
admin-c:        JNIC1-AP
tech-c:         JNIC1-AP
remarks:        Email address for spam or abuse complaints : abuse@gmo.jp
country:        JP　　　→　（日本）
mnt-by:         MAINT-JPNIC
mnt-lower:      MAINT-JPNIC
mnt-irt:        IRT-JPNIC-JP
status:         ALLOCATED PORTABLE
last-modified:  2018-12-27T02:36:02Z
source:         APNIC

inetnum: 160.251.0.0 - 160.251.255.255

netname: interQ

descr: GMO Internet, Inc.

descr: CERULEAN TOWER,26-1 Sakuragaoka-cho,Shibuya-ku,Tokyo 150-8512,Japan

admin-c: JNIC1-AP

tech-c: JNIC1-AP

remarks: Email address for spam or abuse complaints : abuse@gmo.jp

country: JP　　　→　（日本）

mnt-by: MAINT-JPNIC

mnt-lower: MAINT-JPNIC

mnt-irt: IRT-JPNIC-JP

status: ALLOCATED PORTABLE

last-modified: 2018-12-27T02:36:02Z

source: APNIC

このIPアドレスは日本のGMOインターネットに割り振られているようです。

Amazonのサーバーではありません。

次にリンクの誘導先を調べてみます。

メール本文はBase64でエンコードされていますのでデコードします。

すると、

<A href="http://amazon.co.jp.85ew7g8weg786we41658g4ew8gew7ge8w7ew87g8ew7gew87gew[.]monster/"

1	<A href="http://amazon.co.jp.85ew7g8weg786we41658g4ew8gew7ge8w7ew87g8ew7gew87gew[.]monster/"

というリンク先アドレスが見つかりました。

またメール文末のリンクは違うURLへ誘導しています。

<A href="http://amazon.co.jp.9293rh584e8he7hj8er7j4e87j4e687st4j86set674kj86r7k46r874686y74k[.]buzz/">amazon.co.jp</A>

1	<A href="http://amazon.co.jp.9293rh584e8he7hj8er7j4e87j4e687st4j86set674kj86r7k46r874686y74k[.]buzz/">amazon.co.jp</A>

ともにフィッシング詐欺サイトに用いられるmonsterドメインとbuzzドメインであり、Amazonのものではありません。

「Amazonからの緊急連絡」というメールはフィッシング詐欺メールです

このメールはクレジットカードの不正利用が疑われたので停止したと読み手の不安をあおり、偽のアカウントログインページに誘導します。

偽のページはメール内に異なるURLで二つ用意されており、どちらもAmazonのものではありません。

こうしたメールに騙されてアカウント情報を入力したり、クレジットカード登録情報の更新などを行わないようにしてください。

カテゴリ：フィッシング
タグ：Amazon,スパムメール,フィッシング詐欺

「Amazonからの緊急連絡」というメールが詐欺なのか分析する

「Amazonからの緊急連絡」というメールはフィッシング詐欺メールです

関連記事

関連記事

Webサイトの改ざん復旧なら

人気記事

CCSIのサービス

無料ツール

「Amazonからの緊急連絡」というメールが詐欺なのか分析する

「Amazonからの緊急連絡」というメールはフィッシング詐欺メールです

関連記事

関連記事

「Amazonお支払い方法の情報を更新してください」というメールを分析する

「重要: アカウントからの不審な注文に関する情報!」というメールがフィッシング詐欺か検証する

システム更新の問題により、AppleIDがロックされています。【警告】というメールがフィッシング詐欺か検証する

お支払い方法の情報を更新というAmazonからのメールがフィッシング詐欺か検証する

【重要】お客様の【MyJCBカード】が第三者に利用される恐れがあります。というメールがフィッシング詐欺か検証する

Webサイトの改ざん復旧なら

人気記事

CCSIのサービス

無料ツール