![[AMERICAN EXPRESS] ご請求金額確定のご案内というメールがフィッシング詐欺かどうかを検証する・メール画面](https://ccsi.jp/wp-content/uploads/2022/12/20221216_amex-80x80.jpg)
LINEで通信障害発生、メッセージの送受信に不具合、遅延が発生
【厚生労働省】重要なお知らせ、必ずお読みください というメールがフィッシング詐欺かを検証する
Amazonからの重要なメール というメールがフィッシング詐欺か検証する
公開日:
Amazonからの重要なメールというメールがフィッシング詐欺か検証します。
2023年3月に受信したこのメールの件名には、「Amazonからの重要なメール」という言葉の前に受信した自分自身のメールアドレスが書かれていました。
メールの内容は、「お客様のアカウントの不審なログインを検知したので、個人情報の変更を試みた。アカウントがロックされ一部のサービスが利用できないので、24時間以内にログインし個人情報を変更してください」という内容です。
メール本文は以下の通りです。
ユーザーセキュリティセンターからの緊急通知
私たちは、お客様のAmazonアカウントの不審なログインを検知したので、お客様の個人情報の変更を試みました。
日時: 2023-03-29,1:03:24
デバイス: iphone8 IOS 12.3.4
付近: 水戸市
IPアドレス:218.92.115[.]158
セキュリティのため、このアカウントが既にロックされ、一部のサービスが利用できないかもしれません。
このアカウントのロックを解除するには、今次のリンクをクリックして個人情報を充実し、正常的なご利用に戻してください。
24時間以内にログインして、個人情報を充実してください。そうでなければ、このアカウントはリセットされます。
まずは送信元を確認してみます。
|
1 2 |
From: アマゾン セキュリティ センタ- <junkun@ruby.dti.ne[.]jp> Return-Path: junkun@ruby.dti.ne[.]jp |
メール送信者名は「アマゾン セキュリティ センタ-」送信元メールアドレス・Return-Path共にメールのドメインはruby.dti.ne[.]jpになっています。
次に送信元サーバーを調べてみます。
|
1 |
Received: from gdpexf ([103.157.142[.]72]) |
103.157.142[.]72というIPアドレスが出てきました。
このIPを調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 |
inetnum: 103.157.142[.]0 - 103.157.143[.]255 netname: TSURUHANE descr: TSURUHANE JAPAN LTD. descr: 20 at 4-63, Hirao, Inagi-shi, Tokyo admin-c: JNIC1-AP tech-c: JNIC1-AP remarks: Email address for spam or abuse complaints : servicedesk@anchnet.com country: JP → (日本) mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC mnt-irt: IRT-JPNIC-JP status: ALLOCATED PORTABLE last-modified: 2020-10-20T03:07:30Z source: APNIC irt: IRT-JPNIC-JP address: Uchikanda OS Bldg 4F, 2-12-6 Uchi-Kanda address: Chiyoda-ku, Tokyo 101-0047, Japan e-mail: hostmaster@nic.ad.jp abuse-mailbox: hostmaster@nic.ad.jp phone: +81-3-5297-2311 fax-no: +81-3-5297-2312 admin-c: JNIC1-AP tech-c: JNIC1-AP auth: # Filtered remarks: hostmaster@nic.ad.jp was validated on 2020-07-23 mnt-by: MAINT-JPNIC last-modified: 2022-06-14T04:26:58Z source: APNIC role: Japan Network Information Center address: Uchikanda OS Bldg 4F, 2-12-6 Uchi-Kanda address: Chiyoda-ku, Tokyo 101-0047, Japan country: JP → (日本) phone: +81-3-5297-2311 fax-no: +81-3-5297-2312 e-mail: hostmaster@nic.ad.jp admin-c: JI13-AP tech-c: JE53-AP nic-hdl: JNIC1-AP mnt-by: MAINT-JPNIC last-modified: 2022-01-05T03:04:02Z source: APNIC % Information related to '103.157.142.0 - 103.157.143.255' inetnum: 103.157.142.0 - 103.157.143.255 netname: TSURUHANE-CIDR-BLK-JP descr: TSURUHANE JAPAN LTD. remarks: Email address for spam or abuse complaints : servicedesk@anchnet.com country: JP → (日本) admin-c: NW9524JP tech-c: NW9524JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) last-modified: 2020-10-22T19:38:19Z source: JPNIC % This query was served by the APNIC Whois Service version 1.88.16 (WHOIS-JP1) |
メールの送信元は日本にあるサーバーです。
次に、メール本文中のリンクの遷移先について調べてみます。
本文をbase64でデコードしてソースを確認すると、
|
1 |
<a href="https://sourn.jgcmjt[.]com/">状態:ロック解除待ち</a> |
アカウントロック解除先として指定されているURLはhttps://sourn.jgcmjt[.]com/でした。
このドメインのwhois情報をチェックしてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 |
Domain Name: jgcmjt[.]com Registry Domain ID: 1854765651_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.networksolutions.com Registrar URL: http://www.networksolutions.com/en_US/ Updated Date: 2023-03-26T12:36:19Z Creation Date: 2014-04-15T06:29:59Z Registrar Registration Expiration Date: 2023-04-15T06:29:59Z Registrar: NETWORK SOLUTIONS, LLC. Registrar IANA ID: 2 Reseller: Domain Status: clientTransferProhibited http://icann.org/epp#clientTransferProhibited Registry Registrant ID: Registrant Name: hua zhi xie Registrant Organization: Registrant Street: er qi qu, hua yuan xiao qu 8 hao lou Registrant City: zheng zhou Registrant State/Province: Henan Registrant Postal Code: 450000 Registrant Country: CN Registrant Phone: removed phone number Registrant Phone Ext: Registrant Fax: removed phone number Registrant Fax Ext: Registrant Email: removed email address Registry Admin ID: Admin Name: hua zhi xie Admin Organization: Admin Street: er qi qu, hua yuan xiao qu 8 hao lou Admin City: zheng zhou Admin State/Province: Henan Admin Postal Code: 450000 Admin Country: CN Admin Phone: removed phone number Admin Phone Ext: Admin Fax: removed phone number Admin Fax Ext: Admin Email: removed email address Registry Tech ID: Tech Name: hua zhi xie Tech Organization: Tech Street: er qi qu, hua yuan xiao qu 8 hao lou Tech City: zheng zhou Tech State/Province: Henan Tech Postal Code: 450000 Tech Country: CN Tech Phone: removed phone number Tech Phone Ext: Tech Fax: removed phone number Tech Fax Ext: Tech Email: removed email address Name Server: a.share-dns.com Name Server: b.share-dns.net DNSSEC: Unsigned Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2023-03-29T03:51:58Z <<< |
レジストラはNetwork Solutions社というホスティングやドメインのサービスを行う会社です。
レジストラント(登録者)は個人名となっており、場所は中国河南省です。
ネームサーバーについては、ドイツおよび中国のネームサーバーを使用していました。
安全を担保したうえで、実際にこのURLへアクセスしてみます。
すると、
このようにAmazonのログイン画面を模した偽のページが出てきました。
この偽サイトのIPアドレスは205.185.115[.]205です。
このIPを調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 |
NetRange: 205.185.112[.]0 - 205.185.127[.]255 CIDR: 205.185.112.0/20 NetName: PONYNET-03 NetHandle: NET-205-185-112-0-1 Parent: NET205 (NET-205-0-0-0-0) NetType: Direct Allocation OriginAS: AS53667 Organization: FranTech Solutions (SYNDI-5) RegDate: 2010-09-03 Updated: 2012-03-25 Ref: https://rdap.arin.net/registry/ip/205.185.112.0 OrgName: FranTech Solutions OrgId: SYNDI-5 Address: 1621 Central Ave City: Cheyenne StateProv: WY PostalCode: 82001 Country: US RegDate: 2010-07-21 Updated: 2017-01-28 Ref: https://rdap.arin.net/registry/entity/SYNDI-5 OrgTechHandle: FDI19-ARIN OrgTechName: Dias, Francisco OrgTechPhone: removed phone number OrgTechEmail: removed email address OrgTechRef: https://rdap.arin.net/registry/entity/FDI19-ARIN OrgAbuseHandle: FDI19-ARIN OrgAbuseName: Dias, Francisco OrgAbusePhone: removed phone number OrgAbuseEmail: removed email address OrgAbuseRef: https://rdap.arin.net/registry/entity/FDI19-ARIN |
このIPアドレスはFranTech Solutionsという会社のものですが、この会社は防弾ホスティングと呼ばれるホスティングサービスで有名な会社です。
画面の案内に沿って入力すると
このように、パスワードを入力してログインを求められます。
ログイン後の画面は、「更新するまでアカウントにアクセスできない」と書かれています。
通常ログイン後に表示されるユーザー名等は表示されません。
案内通り進むと、クレジットカード情報を求められます。
このページ内のリンクは、切れているものと実在するAmazonの系列サイトへ遷移するものが混在しています。
最近のAmazonのフィッシングメールで誘導される遷移先とは、IPやドメインは異なりますが、個人情報の入力画面の外観はほぼ同一です。
Amazonからの重要なメール というメールはフィッシング詐欺
Amazonからの重要なメール というメールはフィッシング詐欺です。
このメールは日本のサーバーから送信されており、メール本文中のリンクは米国のホスティングサービスを利用して運営されているAmazonの偽のログイン画面へと遷移します。
くれぐれもアカウント情報、クレジットカード情報や個人情報を入力しないようご注意ください。
関連するこの記事も読まれています
2023.03.29 →Amazonからの重要なメール というメールがフィッシング詐欺か検証する
2022.12.09 →Amazonプライムの自動更新設定を解除いたしました!というメールがフィッシング詐欺か検証する(2022年版)
2022.12.01 →【重要】異常な行為が検出 というメールがフィッシング詐欺かを検証する
2022.11.28 →Amazon.co.jpでのご注文250-2699837-7340666 というメールがフィッシング詐欺か検証する。
2022.11.25 →【Amazon】重要なお知らせ というメールがフィッシング詐欺かを検証する
2022.11.22 →Amazon株式会社から緊急のご連絡メ-ル番号:23083053 というメールがフィッシング詐欺か検証する
2022.11.08 →amazon.co.jp: アクションが必要です: サインイン試行 番号:851252112741というメールがフィッシング詐欺か検証する
2022.09.30 →Amazon.co.jpをご利用いただきありがとうございます、というメールがフィッシング詐欺か検証する
2022.09.28 →お客様のお支払い方法が承認されません.番号:671348というメールがフィッシング詐欺か検証する
2022.09.22 →Amazon.co.jp 第三者による不正使用の可能性を検知というメールがフィッシング詐欺か検証する
関連記事
カテゴリ:フィッシング
タグ:Amazon,スパムメール,フィッシング詐欺
関連記事
人気記事
