「【重要】 Amazon Pay ご請求内容のお知らせ」というメールが来たから解析してみる【詐欺】


公開日: 最終更新日:

「【重要】 Amazon Pay ご請求内容のお知らせ」というメールです。

このメールのヘッダーを解析します。

送信元メールアドレスはAmazon.co.jp <no-reply@amazon.co.jp>となっています。

ただし、送信元は

となっています。

これを調査してみます。

Whoisで検索してみると、

レジストラはhttps://www.namesilo.comとなっており、NameSilo, LLCという法人が見つかりました。

アリゾナ州フェニックスの会社です。

ドメインは登録されたばかりです。

ただ、レジストラだけではなくこのドメインの管理者が知りたいですね。

Whoisによると、こうなっています。

privacyguardian.orgというのは、ドメインの真の持ち主を秘匿してその代わりとなります。

特定のレジストラを通じてサービスを提供しています。

よって持ち主は誰だかわからない、ということになります。

では、このドメインのサーバーを調べてみます。

IPアドレスは134.73.85.153となっています。

逆引きホスト名を調べてみると、readywool.comとなっています。

これをまたwhoisで調べてみます。

このドメインのレジストラは中国のアリババグループのようですね。

ではサーバーはどうでしょう。

IPから調べてみると、

となっています。

layerhost.comはロサンゼルスのホスティング会社で、VPSやクラウドサービスを提供しています。

また、このIPはspamhausでブラックリスト入りしているようです。

つまり、readywool.comというドメインを中国のアリババグループで取得し、それをロサンゼルスのlayerhost.comで借りたサーバーにホスト名として設定し、アリゾナ州フェニックスで取得された04hurnflowemrn.xyzというドメインをそのサーバーのバーチャルドメインとして登録し、privacyguardian.orgを使って身元を隠してメールを送信している、ということになります。

当然、amazonからのメールではありません。

次に誘導しようとした先を見てみます。

メール本文の元データはbase64で難読化されています。

よって、ソースをbase64でデコードしてログイン先のURLを見てみます。

https://www2.amazon.co.jp.a9b1d8ae96852f7d26d92d5178e603c85f1afbc6.buzz

に誘導しようとしているようです。

一見amazon.co.jpに見えますが、実態はa9b1d8ae96852f7d26d92d5178e603c85f1afbc6.buzzのサブドメインです。

このドメインも、

で取得され、

によって匿名化されていました。

a9b1d8ae96852f7d26d92d5178e603c85f1afbc6.buzzが悪質なフィッシング詐欺のメールなのはもう明らかですから、

https://www.phishtank.com/へ登録して終了です。

メール上のロゴ画像などは本物のamazonから引っ張っていますし、送信元のメールアドレスもamazonのものですから一見正規のメールのように見えますが、メールヘッダーや内部のコードをきちんと確認すると詐欺だということが分かります。

※追記:2020/02/13

「【重要】Аmazon Pay 入金完了のお知らせ(クレジットカード決済)」というタイトルで同種のメールが拡散しています。こちらもご注意ください。


カテゴリ:
タグ:,,



関連記事