【Amazon】注文状況が変更されましたというメールを分析する
公開日:
【Amazon】注文状況が変更されましたというメールを分析します。
アカウントが停止状態なのでログインして解除を求める内容です。
本文は以下の通り。
お客様の注文とamazonアカウントを変更させていただいております。請求先住所が変更されたなど、理由で発生する可能性があります。アカウントにログインして画面の指示に従うことで、アカウントの停止状態を解除していただけます。
下记URLよりアカウント注文情報をご確認または変更。
[注文番号] 535123-20210508-435
[店舗受付日時] 2021/05/08
[お支払い方法] クレジットカード決済
ご確認はこちら:https://amaozn.zpxxx.com
Amazon.co.jpのまたのご利用をお待ちしております。
© 1996-2021, Amazon.com, Inc. or its affiliates
この時点ですでに「下记URLより」という部分に隠しても隠しきれないかの国の姿が見て取れますが、まずはメールヘッダーから調査します。
1 2 |
From: "Amazon.co.jp" <account-update@amazon.co[.]jp> Return-Path: <yug@bounces.amazon.co[.]jp> |
送信者名はAmazon.co.jpとなっていますが、メールアドレスを見るとaccount-update@amazon.co.jpというメールアドレスになっています。
amazon.co.jpは確かに正規のドメインですが、account-update@amazon.co.jpというメールアドレスはこれまで多くのフィッシング詐欺で使われているメールアドレスです。
メールのソースを見るとFONT-FAMILY: 微软雅黑が指定されています。
これが「下記URL」ではなく「下记URL」となってしまう理由の一つで、微软雅黑はマイクロソフトの標準の簡体字中国語フォントです。
次に送信元のサーバーを調べてみます。
1 |
Received: from bounces.amazon.co.jp (v160-251-3-195.busz.static.cnode[.]io [160.251.3[.]195]) |
例によってcnode.ioのホスト名が見て取れます。
これは日本のGMOインターネットグループのもので、フィッシング詐欺などのスパムメールではよく見かけるホスト名です。
次に誘導先を調べてみます。
ソースを見ると、
1 |
<a href="https://amaozn.zpxxx[.]com">https://amaozn.zpxxx[.]com</a> |
がリンクの誘導先に指定されています。
amaozn.zpxxx[.]comはzpxxx[.]comのサブドメインですからzpxxx[.]comのwhois情報を見てみます。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
Domain Name: zpxxx.com Registry Domain ID: Registrar WHOIS Server: whois.55hl.com Registrar URL: http://www.55hl.com Updated Date: 2020-05-28T08:11:00Z Creation Date: 2020-05-28T08:11:15Z Registrar Registration Expiration Date: 2021-05-28T08:11:15Z Registrar: JIANGSU BANGNING SCIENCE & TECHNOLOGY CO. LTD Registrar IANA ID: 1469 Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone numberext 1009 Reseller: Domain Status: ok https://www.icann.org/epp#OK Registry Registrant ID: Registrant Name: REDACTED FOR PRIVACY Registrant Organization: REDACTED FOR PRIVACY Registrant Street: REDACTED FOR PRIVACY Registrant City: REDACTED FOR PRIVACY Registrant State/Province: beijing Registrant Postal Code: REDACTED FOR PRIVACY Registrant Country: CN Registrant Phone: REDACTED FOR PRIVACY Registrant Phone Ext: REDACTED FOR PRIVACY Registrant Fax: REDACTED FOR PRIVACY Registrant Fax Ext: REDACTED FOR PRIVACY Registrant Email: REDACTED FOR PRIVACY |
レジストラは、下記記事と同様55hl.comです。
また登録者も中国となっています。
IPアドレスは45.207.50[.]95で、これは香港のIPアドレスです。
安全を確保したうえでこのサイトにアクセスしてみます。
すると、このようにアマゾンの偽のログインページが運用されていました。
試しにログインしてみると、
このように各種個人情報を入力するフォームが現れます。
なおソースを見ると、
1 2 3 4 5 |
//使用mask方法检测修改格式 $('input[name="phonenumber"]').mask('+0000000000000'); $('input[name="dob"]').mask('00/00/0000'); $('input[name="zipcode"]').mask('000-0000'); </script> |
といった中国語のコメントが見られます。
【Amazon】注文状況が変更されましたというメールはフィッシング詐欺
【Amazon】注文状況が変更されましたというメールは、フィッシング詐欺です。
Amazon.co.jpからの送信を装っていますが、実際には全く異なる国内サーバーからの送信であり、誘導先のドメインは中国、サーバーは香港のものです。
ここには偽のAmazonのページが運用されており、個人情報やアカウント情報を窃取する目的があります。
くれぐれもこうしたサイトへ入力しないようご注意ください。
2023.03.29 →Amazonからの重要なメール というメールがフィッシング詐欺か検証する
2022.12.09 →Amazonプライムの自動更新設定を解除いたしました!というメールがフィッシング詐欺か検証する(2022年版)
2022.12.01 →【重要】異常な行為が検出 というメールがフィッシング詐欺かを検証する
2022.11.28 →Amazon.co.jpでのご注文250-2699837-7340666 というメールがフィッシング詐欺か検証する。
2022.11.25 →【Amazon】重要なお知らせ というメールがフィッシング詐欺かを検証する
2022.11.22 →Amazon株式会社から緊急のご連絡メ-ル番号:23083053 というメールがフィッシング詐欺か検証する
2022.11.08 →amazon.co.jp: アクションが必要です: サインイン試行 番号:851252112741というメールがフィッシング詐欺か検証する
2022.09.30 →Amazon.co.jpをご利用いただきありがとうございます、というメールがフィッシング詐欺か検証する
2022.09.28 →お客様のお支払い方法が承認されません.番号:671348というメールがフィッシング詐欺か検証する
2022.09.22 →Amazon.co.jp 第三者による不正使用の可能性を検知というメールがフィッシング詐欺か検証する
関連記事
カテゴリ:フィッシング
タグ:account-update@amazon.co.jp,Amazon,フィッシング詐欺