Amazonアカウントが異常で、ログイン制限があります。というメールがフィッシング詐欺か検証する

公開日:2020/7/23

Amazonアカウントが異常で、ログイン制限があります。というメールがフィッシング詐欺か検証します。

新しいデバイスからアカウントへのアクセスが確認された、異常なアクセスなので確認して欲しいといった内容です。

文面は以下の通り。

お客様のアカウントで異常な行為が検出されたため、お客様の注文と Amazon アカウントを停止させていただいております，新しいデバイスからお客様のアカウントへのサインインが検出されました。

日時：2020/07/23-18:24:27Japan Standard Time

デバイス： Microsoft Internet Explorer Windows(デスクトップ)

アカウントにログインして画面の指示に従うことで、アカウントの停止状態を解除していただけます。

クリックしてAmazonに入ります

あなたの口座の安全のために，請求先情報の確認が完了するまで、お客様のアカウントへのアクセスを停止させていただきますので、ご了承ください。

何卒、よろしくお願い申し上げます。

Amazon.co.jp

=========================

まずは送信元を調べてみます。

From: amazon.co.jp@gxomoonhwv.biz
Return-Path: <amazon.co.jp@gxomoonhwv.biz>

1 2	From: amazon.co.jp@gxomoonhwv.biz Return-Path: <amazon.co.jp@gxomoonhwv.biz>

送信者名はamazon.co.jpとなっていますが、送信元メールアドレス、Return-Pathはamazon.co.jp@gxomoonhwv.bizとなっており、Amazonではありません。

次に送信元のサーバーを調べてみます。

Received: from gxomoonhwv.biz (v118-27-80-14.d1xu.static.cnode.io [118.27.80.14])

1	Received: from gxomoonhwv.biz (v118-27-80-14.d1xu.static.cnode.io [118.27.80.14])

118.27.80.14というIPアドレスからのようです。

このIPアドレスを調べてみると、

inetnum:        118.27.0.0 - 118.27.127.255
netname:        interQ
descr:          GMO Internet, Inc.
descr:          CERULEAN TOWER,26-1 Sakuragaoka-cho,Shibuya-ku,Tokyo 150-8512,Japan
admin-c:        JNIC1-AP
tech-c:         JNIC1-AP
remarks:        Email address for spam or abuse complaints : abuse@gmo.jp
country:        JP　　　→　（日本）
mnt-by:         MAINT-JPNIC
mnt-lower:      MAINT-JPNIC
mnt-irt:        IRT-JPNIC-JP
status:         ALLOCATED PORTABLE
last-modified:  2018-08-03T01:51:35Z
source:         APNIC

inetnum: 118.27.0.0 - 118.27.127.255

netname: interQ

descr: GMO Internet, Inc.

descr: CERULEAN TOWER,26-1 Sakuragaoka-cho,Shibuya-ku,Tokyo 150-8512,Japan

admin-c: JNIC1-AP

tech-c: JNIC1-AP

remarks: Email address for spam or abuse complaints : abuse@gmo.jp

country: JP　　　→　（日本）

mnt-by: MAINT-JPNIC

mnt-lower: MAINT-JPNIC

mnt-irt: IRT-JPNIC-JP

status: ALLOCATED PORTABLE

last-modified: 2018-08-03T01:51:35Z

source: APNIC

日本のGMOインターネットに割り当てられているIPアドレスでした。

次にリンクの誘導先を調べてみます。

<p><a href="https://amazon.co.jp.stop-amazon.co/">Amazon.co.jp</a></p>

1	<p><a href="https://amazon.co.jp.stop-amazon.co/">Amazon.co.jp</a></p>

となっており、一見似てはいますがAmazonとは異なる https://amazon.co.jp.stop-amazon.co/ へとリンクしています。

これはstop-amazon.coのサブドメインで、Whois情報は以下の通りです。

Domain Name: stop-amazon.co
Registry Domain ID: DFCBA607867D94A05942D12513AFCB1E9-NSR
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: www.namesilo.com
Updated Date: 2020-07-09T05:30:34Z
Creation Date: 2020-07-04T05:30:29Z
Registry Expiry Date: 2021-07-04T05:30:29Z
Registrar: NameSilo, LLC
Registrar IANA ID: 1479
Registrar Abuse Contact Email: abuse@namesilo.com
Registrar Abuse Contact Phone: +1.4805240066
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name:
Registrant Organization: See PrivacyGuardian.org
Registrant Street:
Registrant Street:
Registrant Street:
Registrant City:
Registrant State/Province: AZ
Registrant Postal Code:
Registrant Country: US
Registrant Phone:
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

Domain Name: stop-amazon.co

Registry Domain ID: DFCBA607867D94A05942D12513AFCB1E9-NSR

Registrar WHOIS Server: whois.namesilo.com

Registrar URL: www.namesilo.com

Updated Date: 2020-07-09T05:30:34Z

Creation Date: 2020-07-04T05:30:29Z

Registry Expiry Date: 2021-07-04T05:30:29Z

Registrar: NameSilo, LLC

Registrar IANA ID: 1479

Registrar Abuse Contact Email: abuse@namesilo.com

Registrar Abuse Contact Phone: +1.4805240066

Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited

Registry Registrant ID:

Registrant Name:

Registrant Organization: See PrivacyGuardian.org

Registrant Street:

Registrant City:

Registrant State/Province: AZ

Registrant Postal Code:

Registrant Country: US

Registrant Phone:

Registrant Phone Ext:

Registrant Fax:

Registrant Fax Ext:

Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

安全を担保してこのURLにアクセスしてみると、このように偽のAmazonフィッシング詐欺サイトが運用されていました。

またこのページのソースコードを見ると、

このように中国語でのコメントが複数確認できます。

なお、IPアドレスは27.124.22.63でした。

このIPアドレスを調べてみると、

inetnum:        27.124.20.0 - 27.124.23.255
netname:        BGP124-20-HK
descr:          BGP CONSULTANCY PTE LTD
country:        HK　　　→　（香港）
admin-c:        BCPL4-AP
tech-c:         BCPL4-AP
status:         ALLOCATED NON-PORTABLE
mnt-by:         MAINT-RCPL-SG
mnt-irt:        IRT-RCPL-SG
last-modified:  2019-02-19T02:55:08Z
source:         APNIC