【Amazon】注文状況が変更されましたというメールを分析する


公開日:

【Amazon】注文状況が変更されましたというメールを分析します。

アカウントが停止状態なのでログインして解除を求める内容です。

本文は以下の通り。

お客様の注文とamazonアカウントを変更させていただいております。請求先住所が変更されたなど、理由で発生する可能性があります。アカウントにログインして画面の指示に従うことで、アカウントの停止状態を解除していただけます。

 下记URLよりアカウント注文情報をご確認または変更。

[注文番号] 535123-20210508-435

[店舗受付日時] 2021/05/08

[お支払い方法] クレジットカード決済

 ご確認はこちら:https://amaozn.zpxxx.com

 Amazon.co.jpのまたのご利用をお待ちしております。

© 1996-2021, Amazon.com, Inc. or its affiliates

この時点ですでに「下记URLより」という部分に隠しても隠しきれないかの国の姿が見て取れますが、まずはメールヘッダーから調査します。

 送信者名はAmazon.co.jpとなっていますが、メールアドレスを見るとaccount-update@amazon.co.jpというメールアドレスになっています。

amazon.co.jpは確かに正規のドメインですが、account-update@amazon.co.jpというメールアドレスはこれまで多くのフィッシング詐欺で使われているメールアドレスです。

メールのソースを見るとFONT-FAMILY: 微软雅黑が指定されています。

これが「下記URL」ではなく「下记URL」となってしまう理由の一つで、微软雅黑はマイクロソフトの標準の簡体字中国語フォントです。

次に送信元のサーバーを調べてみます。

 例によってcnode.ioのホスト名が見て取れます。

これは日本のGMOインターネットグループのもので、フィッシング詐欺などのスパムメールではよく見かけるホスト名です。

次に誘導先を調べてみます。

ソースを見ると、

 がリンクの誘導先に指定されています。

amaozn.zpxxx[.]comはzpxxx[.]comのサブドメインですからzpxxx[.]comのwhois情報を見てみます。

 レジストラは、下記記事と同様55hl.comです。

【三井住友カード】ご利用のANA VISA プリペイドカードが一時的に利用停止されましたというメールを分析する

また登録者も中国となっています。

IPアドレスは45.207.50[.]95で、これは香港のIPアドレスです。

安全を確保したうえでこのサイトにアクセスしてみます。

すると、このようにアマゾンの偽のログインページが運用されていました。

試しにログインしてみると、

このように各種個人情報を入力するフォームが現れます。

なおソースを見ると、

 といった中国語のコメントが見られます。

【Amazon】注文状況が変更されましたというメールはフィッシング詐欺

【Amazon】注文状況が変更されましたというメールは、フィッシング詐欺です。

Amazon.co.jpからの送信を装っていますが、実際には全く異なる国内サーバーからの送信であり、誘導先のドメインは中国、サーバーは香港のものです。

ここには偽のAmazonのページが運用されており、個人情報やアカウント情報を窃取する目的があります。

くれぐれもこうしたサイトへ入力しないようご注意ください。

関連記事



カテゴリ:
タグ:,,



関連記事