「「重要」Аmazon アカウント異常ログインリマインダー」というメールがフィッシング詐欺か検証する

公開日:2020/5/26

見出し

1 送信元を調べる
2 リンクの誘導先を調べる
3 実際のフィッシングサイトを確認
4 「「重要」Аmazon アカウント異常ログインリマインダー」というメールはフィッシング詐欺

「「重要」Аmazon アカウント異常ログインリマインダー」というメールがフィッシング詐欺か検証します。

アカウントで異常なログインがあったので、アカウントを強制停止しているということでアカウント確認を求める内容です。

文面は以下の通りです。

amazon 異常なログインが見つかり

Аmazon お客様

Аmazon をご利用頂き誠にありがとうございます。

お客様のアカウントは強制停止されています – アカウントで異常なログインが検出されました。

取引注文を防ぐために、個人情報を確認する必要があります。

アカウントにログインして画面の指示に従うことで、アカウントのロックを解除していただけます。

Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

ログイン情報

・IPアドレス：120.109.105.169

・ログイン日時：2020年5月26日 9:47:19 JST

このEメールアドレスは配信専用です。このメッセージに返信しないようお願いいたします。

© Amazon Services International, Inc.またはその関連会社。

All rights reserved.Amazon PayおよびAmazon Payのロゴは、

Amazon.com, Inc.またはその関連会社の登録商標です。Amazon Services International, Inc. and Amazon Services, LLC

410 Terry Avenue North

Seattle, Washington 98109-5210

送信元を調べる

まず送信元を調べてみます。

From: "Аmazon. co. jp" <no-reply@vc37i4nb6z-hvz6xjmsl6.email.amazon.co.jp>
Return-Path: <account-update@amazon.co.jp>

1 2	From: "Аmazon. co. jp" <no-reply@vc37i4nb6z-hvz6xjmsl6.email.amazon.co.jp> Return-Path: <account-update@amazon.co.jp>

送信者名はAmazon.co.jpとなっており、送信元メールアドレスもamazon.co.jpのメールアドレスです。

またReturn-Pathもaccount-update@amazon.co.jpと、amazon.co.jpになっています。

ここだけだと、amazonからの正規のようにも見えますが、これらは偽装できる情報でもあるので同じようにメールヘッダー内から送信元サーバーを調べてみます。

Received: from mail05.01bulkbull.xyz (unknown [104.148.69.86])

1	Received: from mail05.01bulkbull.xyz (unknown [104.148.69.86])

104.148.69.86というIPアドレスが出てきました。

NetRange:       104.148.0.0 - 104.148.127.255
CIDR:           104.148.0.0/17 (マスク範囲)
NetName:        LAYER-HOST
NetHandle:      NET-104-148-0-0-1
Parent:         NET104 (NET-104-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS46573
Organization:   LayerHost (LH-363)
RegDate:        2014-07-07
Updated:        2020-04-20
Ref:            https://rdap.arin.net/registry/ip/104.148.0.0


OrgName:        LayerHost
OrgId:          LH-363
Address:        900 N. Alameda Street.
City:           Los Angeles
StateProv:      CA
PostalCode:     90012
Country:        US　　　→　（アメリカ合衆国）
RegDate:        2020-01-27
Updated:        2020-04-29
Comment:        https://www.layerhost.com
Comment:        Standard NOC Hours 24/7
Comment:        +1-833-247-HOST (4678)
Ref:            https://rdap.arin.net/registry/entity/LH-363

NetRange: 104.148.0.0 - 104.148.127.255

CIDR: 104.148.0.0/17 (マスク範囲)

NetName: LAYER-HOST

NetHandle: NET-104-148-0-0-1

Parent: NET104 (NET-104-0-0-0-0)

NetType: Direct Allocation

OriginAS: AS46573

Organization: LayerHost (LH-363)

RegDate: 2014-07-07

Updated: 2020-04-20

Ref: https://rdap.arin.net/registry/ip/104.148.0.0

OrgName: LayerHost

OrgId: LH-363

Address: 900 N. Alameda Street.

City: Los Angeles

StateProv: CA

PostalCode: 90012

Country: US　　　→　（アメリカ合衆国）

RegDate: 2020-01-27

Updated: 2020-04-29

Comment: https://www.layerhost.com

Comment: Standard NOC Hours 24/7

Comment: +1-833-247-HOST (4678)

Ref: https://rdap.arin.net/registry/entity/LH-363

調べてみると、アメリカのIPアドレスですがホスト名がmail108.momowxt09.topとなっています。

また、https://www.layerhost.com/　というホスティング会社に割り当てられているようです。

つまりAmazonではないところから配信されていることになります。

リンクの誘導先を調べる

次にメール本文中のリンクの誘導先を調べてみます。

<a class=button href="https://www2.amazon.co.jp.caf4a8b6c5c3d6e2c6b5f9d0f1f3cb6f6e5d3.buzz/session?cookie=*****pnb=*****email=example@example.com&*******&email=example@example.com" target=_blank>

1	<a class=button href="https://www2.amazon.co.jp.caf4a8b6c5c3d6e2c6b5f9d0f1f3cb6f6e5d3.buzz/session?cookie=***pnb=*email=example@example.com&*****&email=example@example.com" target=_blank>