重要なお知らせ:アカウントが停止されました Thu, May 21, 2020 9:41 PM – 【Amazon】 在宅勤務というメールがフィッシング詐欺か検証する


公開日:

重要なお知らせ:アカウントが停止されました Thu, May 21, 2020 9:41 PM – 【Amazon】 在宅勤務というメールがフィッシング詐欺か検証します。

請求先住所が確認できないので、アカウントにアクセスして確認して欲しいといった内容です。

文面は以下の通りです。

アカウントが無効になっています

お客様、

アカウントへのアクセスが停止されました、

請求先住所が確認できないためです。

以下のリンクをクリックして、アカウントを確認してください。

https://www.amazon.co.jp/

リンクは12時間後に利用可能になります

アカウントスペシャリスト。

Amazon.co.jp

「リンクは12時間後に利用可能」とされています。

まず送信元を調べてみます。

 送信者名はAmazon.co.jpになっていますが、送信元メールアドレスおよびReturn-Pathはgotomymanage[.]comというドメインのメールが設定されています。

送信元サーバーを調べてみます。

 IPアドレスを見ると、GoogleのIPアドレスでGmailを使用しているようです。

またこのメールは

 となっており、宛先自体はserviceid@infoamazon[.]comと一見amazonに見えますがinfoamazon[.]comですので全く無関係なメールアドレスになっています。

次に、メール本文中のリンク誘導先を調べてみます。

メール本文をbase64でデコードすると、

 となっており、https://matsu.rodingu[.]com/ へと誘導されています。

ここにアクセスしても、今はGoogleなどに誘導されます。

そこで、IPアドレスを調べてみます。

162.241.222.116 のIPアドレスで運用されているようです。

そこで、このIPアドレスでどんなサイトがホスティングされているのかを調べてみると、多数のフィッシングサイトが見つかります。

connect.auone.jp-view[.]com

connect.auone.jp-idauone[.]net

www.connect.auone.jp-view[.]com

connect.auone.jp-idauone[.]net

connect-portal.auone-jp.dashboard.realybadfeeling[.]com

connect.auone-jp.portaluser.rirodoo[.]com

connect.auone.jp.id-jp[.]com

connect-auone.portal-jp.dashboard.kurangdalamas[.]com

matsu.rodingu[.]com

などのドメインがこのサーバーを参照しており、auのフィッシング詐欺サイトが大量に運用されているサーバーだということが分かります。

重要なお知らせ:アカウントが停止されました Thu, May 21, 2020 9:41 PM – 【Amazon】 在宅勤務というメールはフィッシング詐欺

重要なお知らせ:アカウントが停止されました Thu, May 21, 2020 9:41 PM – 【Amazon】 在宅勤務というメールはフィッシング詐欺です。

このメールはそもそも送信者名はAmazon.co.jpになっていますが、送信元メールアドレスおよびReturn-Pathはgotomymanage[.]comというドメインのメールが設定されています。

また、送信元サーバーもAmazonのものではありません。

リンクの誘導先については現時点でフィッシング詐欺サイトがないものの、「リンクは12時間後に利用可能」とされています。

そしてそのIPアドレスでは多数のauのフィッシング詐欺サイトが運用されています。

関連記事



カテゴリ:
タグ:



関連記事