Amazon Pay ご請求内容のお知らせというメールがフィッシング詐欺か検証する

公開日:2020/7/2

「Amazon Pay ご請求内容のお知らせ」というメールがフィッシング詐欺か検証します。

【重要】Аmazon Pay ご請求内容のお知らせ（クレジットカード決済）というフィッシング詐欺メール

という記事がありますが、今回は足元で流行しているものです。

文面は以下の通り。

ご請求内容のお知らせ

Аmazon お客様

日頃は、Amazon をご利用いただきまして誠にありがとうございます。

お客様のアカウントは強制停止されています – アカウントで不審なお支払いが検出されました。

取引注文を防ぐために、個人情報を確認する必要があります。

Аmazon ログイン >>

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

概要

処理日

7/2/2020 – 11:10:30 AM JST

ご請求金額

￥ 262,622 (税別)

お支払い方法

クレジットカード

Amazon Pay注文番号

P44-5932830-9559481

販売事業者お問い合わせ先

Apple Store

mailbox:///C:/Users/ID/AppData/Roaming/Thunderbird/Profiles/31mimv90.default-release/Mail/pops.cty-net.ne.jp/info@apple.com

販売事業者ご注文番号

4-76648077

サポート

注文の詳細は、Amazon ページ上部より、Amazon Pay にサインインをクリックしてご確認ください。

ご注文状況や請求内容に関するお問い合わせはApple Store（info@apple.com）にお問い合わせください。

ご注文に関するトラブルは、購入者向けAmazonマーケットプレイス保証の対象になる可能性があります。

このEメールアドレスは配信専用です。このメッセージに返信しないようお願いいたします。

© Amazon Services International, Inc.またはその関連会社。

All rights reserved.Amazon PayおよびAmazon Payのロゴは、

Amazon.com, Inc.またはその関連会社の登録商標です。Amazon Services International, Inc. and Amazon Services, LLC

410 Terry Avenue North

Seattle, Washington 98109-5210

まず、メールヘッダーから送信元を調べてみます。

From: "Amazon.co.jp" <sinteenak-mumbul@xored.com>
Return-Path: <sinteenak-mumbul@xored.com>

1 2	From: "Amazon.co.jp" <sinteenak-mumbul@xored.com> Return-Path: <sinteenak-mumbul@xored.com>

送信者名はAmazon.co.jpですが、送信元メールアドレス、およびReturn-Pathに使われているメールアドレスは sinteenak-mumbul@xored[.]com となっており、xored[.]comというドメインです。

Amazonとは全く関係がありません。

Whois情報を調べてみると、

Domain Name: XORED.COM
Registry Domain ID: 28569006_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.networksolutions.com
Registrar URL: http://networksolutions.com
Updated Date: 2018-04-06T07:27:10Z
Creation Date: 2000-06-05T14:28:24Z
Registrar Registration Expiration Date: 2023-06-05T14:28:24Z
Registrar: Network Solutions, LLC
Registrar IANA ID: 2
Reseller: 
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID: 
Registrant Name: Platov, Andrey
Registrant Organization: xored software, Inc
Registrant Street: Musy Dzhalila 3/1
Registrant City: Novosibirsk
Registrant State/Province: Siberia
Registrant Postal Code: 630055
Registrant Country: RU
Registrant Phone: +7.9133713712
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: andrey@xored.com

Domain Name: XORED.COM

Registry Domain ID: 28569006_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.networksolutions.com

Registrar URL: http://networksolutions.com

Updated Date: 2018-04-06T07:27:10Z

Creation Date: 2000-06-05T14:28:24Z

Registrar Registration Expiration Date: 2023-06-05T14:28:24Z

Registrar: Network Solutions, LLC

Registrar IANA ID: 2

Reseller:

Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited

Registry Registrant ID:

Registrant Name: Platov, Andrey

Registrant Organization: xored software, Inc

Registrant Street: Musy Dzhalila 3/1

Registrant City: Novosibirsk

Registrant State/Province: Siberia

Registrant Postal Code: 630055

Registrant Country: RU

Registrant Phone: +7.9133713712

Registrant Phone Ext:

Registrant Fax:

Registrant Fax Ext:

Registrant Email: andrey@xored.com

このドメインはロシアで取得されています。

また正規のサービスを行っている企業のドメインです。

そこで送信元サーバーを調べてみます。

Received: from mail.xored.com (unknown [95.156.95.134])

1	Received: from mail.xored.com (unknown [95.156.95.134])

95.156.95.134というIPアドレスを調べてみると、これもロシアのIPアドレスで、webサーバーとしてのドメインはホスティングしておらずメールサーバーを一つだけホストしているようです。

さて、次にメール本文中にあるリンクの誘導先を調べてみます。

A href="https://mysp[.]ac/4bwug/?id=3D01MMMqkszwa2C" target=3D_blank>

1	A href="https://mysp[.]ac/4bwug/?id=3D01MMMqkszwa2C" target=3D_blank>

https://mysp[.]ac/ 配下へ誘導していますが、これはAmazonではありません。

またこのドメインは過去にも登場しており、

「お客様の Amazon アカウントが一時的に停止されました」というメールがフィッシング詐欺か検証する

のケースで用いられています。

さて上記ケースと同様、今回のケースでもこのURLからリダイレクト（転送）されており、今回は https://bilamz-websappsjp.scrapper-site[.]net/ というURLや https://kainkafan.is-a-nascarfan.com/2611bcd08ef520754ba92ceeb0046c4d/?id=papagan というURLへリダイレクトされます。

言うまでもなく、Amazonではありません。