Amazonからの重要なメール というメールがフィッシング詐欺か検証する


公開日:

Amazonからの重要なメールというメールがフィッシング詐欺か検証します。

2023年3月に受信したこのメールの件名には、「Amazonからの重要なメール」という言葉の前に受信した自分自身のメールアドレスが書かれていました。

メールの内容は、「お客様のアカウントの不審なログインを検知したので、個人情報の変更を試みた。アカウントがロックされ一部のサービスが利用できないので、24時間以内にログインし個人情報を変更してください」という内容です。

メール本文は以下の通りです。

ユーザーセキュリティセンターからの緊急通知

私たちは、お客様のAmazonアカウントの不審なログインを検知したので、お客様の個人情報の変更を試みました。

日時: 2023-03-29,1:03:24

デバイス: iphone8 IOS 12.3.4

付近: 水戸市

IPアドレス:218.92.115[.]158

セキュリティのため、このアカウントが既にロックされ、一部のサービスが利用できないかもしれません。

このアカウントのロックを解除するには、今次のリンクをクリックして個人情報を充実し、正常的なご利用に戻してください。

24時間以内にログインして、個人情報を充実してください。そうでなければ、このアカウントはリセットされます。

Amazonからの重要なメール について検証する1

まずは送信元を確認してみます。

メール送信者名は「アマゾン セキュリティ センタ-」送信元メールアドレス・Return-Path共にメールのドメインはruby.dti.ne[.]jpになっています。

次に送信元サーバーを調べてみます。

103.157.142[.]72というIPアドレスが出てきました。

このIPを調べてみると、

メールの送信元は日本にあるサーバーです。

次に、メール本文中のリンクの遷移先について調べてみます。

本文をbase64でデコードしてソースを確認すると、

 アカウントロック解除先として指定されているURLはhttps://sourn.jgcmjt[.]com/でした。

このドメインのwhois情報をチェックしてみると、

レジストラはNetwork Solutions社というホスティングやドメインのサービスを行う会社です。

レジストラント(登録者)は個人名となっており、場所は中国河南省です。

ネームサーバーについては、ドイツおよび中国のネームサーバーを使用していました。

安全を担保したうえで、実際にこのURLへアクセスしてみます。

すると、

Amazonからの重要なメール について検証する2

このようにAmazonのログイン画面を模した偽のページが出てきました。

この偽サイトのIPアドレスは205.185.115[.]205です。

このIPを調べてみると、

このIPアドレスはFranTech Solutionsという会社のものですが、この会社は防弾ホスティングと呼ばれるホスティングサービスで有名な会社です。

 画面の案内に沿って入力すると

Amazonからの重要なメール について検証する3

このように、パスワードを入力してログインを求められます。

Amazonからの重要なメール について検証する3

ログイン後の画面は、「更新するまでアカウントにアクセスできない」と書かれています。

通常ログイン後に表示されるユーザー名等は表示されません。

案内通り進むと、クレジットカード情報を求められます。

このページ内のリンクは、切れているものと実在するAmazonの系列サイトへ遷移するものが混在しています。

最近のAmazonのフィッシングメールで誘導される遷移先とは、IPやドメインは異なりますが、個人情報の入力画面の外観はほぼ同一です。

Amazonからの重要なメール というメールはフィッシング詐欺

 Amazonからの重要なメール というメールはフィッシング詐欺です。

このメールは日本のサーバーから送信されており、メール本文中のリンクは米国のホスティングサービスを利用して運営されているAmazonの偽のログイン画面へと遷移します。

くれぐれもアカウント情報、クレジットカード情報や個人情報を入力しないようご注意ください。

関連記事



カテゴリ:
タグ:,,



関連記事