「2020年chromeアンケート。iPhone11を入手するチャンスがある」というメールが来たから解析してみる【詐欺】
「Amazon.co.jp ご登録のアカウント(名前、パスワード、その他個人情報)の確認」というメールを分析する【詐欺】
公開日: 最終更新日:
「Amazon.co.jp ご登録のアカウント(名前、パスワード、その他個人情報)の確認」というメールがきました。
このメールヘッダーを解析してみます。
送信元メールアドレスは、”amazon.co.jp” <support@amazon.co.jp>となっています。
|
1 |
From: "amazon.co.jp" <support@amazon.co.jp> |
ところが、リターンパスをみると、
|
1 |
Return-Path: <cqjjd@jun.net> |
となっています。
メルマガなどではこういうこともまあなくはいないですが、Amazonだというならこれはちょっと不審です。
リターンパスには大抵の場合真の送信者のメールアドレスが入っているので、初心者の人はまずここを見ると良いかも知れません。
では次にこのjun.netのwhois情報を調べてみます。
|
1 |
http://www.fabulous.com |
となっていて、ドメインパーキングになっているようです。
ではどこから送信されてきたのか、ホスト名、IPアドレスから追ってみましょう。
|
1 |
Received: from jun.net (v160-251-0-69.5t62.static.cnode.io [160.251.0.69]) |
となっています。
v160-251-0-69.5t62.static.cnode.ioは、cnode.ioのサブドメインです。
cnode.ioのwhois情報を見てみます。
|
1 2 3 4 5 6 7 |
Domain Name: CNODE.IO Registrar URL: www.onamae.com Updated Date: 2019-11-01T20:45:18Z Creation Date: 2015-07-16T01:45:37Z Registry Expiry Date: 2021-07-16T01:45:37Z Registrar Registration Expiration Date: Registrar: GMO Internet, Inc. d/b/a Onamae.com |
レジストラはGMOのお名前.comみたいですね。
IPアドレスを調べると、
|
1 2 |
descr: GMO Internet, Inc. country: JP → (日本) |
こちらもGMOのようですね。
いったいどこに誘導するつもりなのか、調べてみます。
メール本文はBase64でエンコードされているので、デコードします。
|
1 2 3 4 5 6 7 8 9 10 11 |
<P>Аmazon に登録いただいたお客様に、Аmazonアカウントの情報更新をお届けします。<BR>残念ながら、Аmazonのアカウントを更新できませんでした。<BR>今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。</P> <P><FONT color=#333333><SPAN style="FONT-SIZE: 14px">アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため <FONT size=3>Аmazon </FONT>アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。</SPAN></FONT><FONT color=#333333><BR><A class=button href="https://amazon.co.jp.updgkl.myhhkm.ph" target=_blank><STRONG><FONT color=black>Аmazon ログイン </FONT></STRONG></A></P> <P><SPAN style="FONT-SIZE: 14px"><B>なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。</B></SPAN></P> |
また例によって、リンク先URLの先頭にはhttps://amazon.co.jpがくっついていますね。
|
1 |
href="https://amazon.co.jp.updgkl.myhhkm.ph" |
ただ、amazon.co.jp.updgkl.myhhkm.phはmyhhkm.phのサブドメインですから、myhhkm.phのwhoisやサーバーを調べてみます。
.phはフィリピンのドメインです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
WHOIS info for myhhkm.ph Domain Name: myhhkm.ph Creation Date: Expiration Date: Updated Date: Registrar: Net-Chinese Co., Ltd. Registrant Name: hui xiang ling Registrant Organization: Registrant Street: shan xi sheng an kang shi han yin xian cheng guan zhen nan hai hao 43hao Registrant Street 2: Registrant Street 3: Registrant City: an kang shi Registrant State/Province: shan xi Registrant Postal Code: 235 Registrant Country: CN Registrant Email: a15...@... Name Server: hm2.alidns.com Name Server: hm1.alidns.com |
ドメインレジストラは、中国のhttps://www.net-chinese.com.tw/でした。
amazon.co.jp.updgkl.myhhkm.phのIPアドレスを調べてみると143.92.48.223とのこと。
|
1 2 3 4 5 6 7 8 9 10 11 12 |
inetnum: 143.92.48.0 - 143.92.63.255 netname: BGP48-0-63-255-HK descr: BGP CONSULTANCY PTE LTD descr: country: HK admin-c: RCPL3-AP tech-c: RCPL3-AP status: ALLOCATED NON-PORTABLE mnt-by: MAINT-RCPL-SG mnt-irt: IRT-RCPL-SG last-modified: 2019-11-19T01:56:43Z source: APNIC |
調べてみると、香港のクラウドホスティング会社のIPみたいですね。
ただ、管理者はこちらのようです。
|
1 2 3 4 5 6 7 8 9 10 11 |
irt: IRT-RCPL-SG address: No. 3, Pemimpin Drive, # 07-04 Lip Hing, Industrial Building,, Singapore Singapore 576147 e-mail: abuse@rackip.com abuse-mailbox: abuse@rackip.com admin-c: RCPL3-AP tech-c: RCPL3-AP auth: # Filtered remarks: abuse@rackip.com was validated on 2019-11-14 mnt-by: MAINT-RCPL-SG last-modified: 2019-11-14T02:49:46Z source: APNIC |
rackip.com(RACKIP CONSULTANCY PTE LTD、シンガポール)という会社ができました。
どんな会社なのでしょうか。
確認してみると、IPV4アドレスを購入・販売・リースする、とあります。
つまり、上記のIPアドレスもそうしたIPアドレスである可能性があるということですね。
なお、このサイトにクロームでアクセスしてみると、以下のようにアクセス制限がかかります。
安全な形でアクセスしてみると、
上記のように、入力ページに飛ばすフィッシングサイトだと分かります。
要約すると、
中国のレジストラで管理しているフィリピンドメインを、シンガポールのIPV4アドレスの販売・リース会社から手に入れたIPを香港のクラウドに割り振り、フィッシングサイトを運営、そのフィッシングサイトに誘導するメールを、日本のGMOのサーバーを使って身元を偽装して配信している、と考えることができます。
Amazonが全然出てきませんね、出てくるのはアジアのサービスばかりです。
もちろん詐欺メールだというのは直感的にわかるかもしれませんが、こうして詳しく見てみるとそれが良くわかります。
※2020/03/14
同一タイトルで文面の異なるものが確認されています。
文面は以下の通りです。
Аmazon お客様
残念ながら、あなたのアカウント
Аmazon を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため
Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。
Аmazon ログイン
なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。
パスワードを変更した覚えがない場合は、至急(03)-090-8848までお電話ください。
お知らせ:
パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。
どうぞよろしくお願いいたします。
Аmazon
(03)-090-8848という電話番号が出てきますが、決して電話しないようにしてください。
関連するこの記事も読まれています
2022.11.28 →Amazon.co.jpでのご注文250-2699837-7340666 というメールがフィッシング詐欺か検証する。
2022.11.25 →【Amazon】重要なお知らせ というメールがフィッシング詐欺かを検証する
2022.11.22 →Amazon株式会社から緊急のご連絡メ-ル番号:23083053 というメールがフィッシング詐欺か検証する
2022.11.08 →amazon.co.jp: アクションが必要です: サインイン試行 番号:851252112741というメールがフィッシング詐欺か検証する
2022.09.30 →Amazon.co.jpをご利用いただきありがとうございます、というメールがフィッシング詐欺か検証する
2022.09.28 →お客様のお支払い方法が承認されません.番号:671348というメールがフィッシング詐欺か検証する
2022.09.22 →Amazon.co.jp 第三者による不正使用の可能性を検知というメールがフィッシング詐欺か検証する
2022.09.21 →Amazon.co.jp でのご注文についてというメールがフィッシング詐欺か検証する
2022.08.03 →Amazonプライム会費のお支払い方法に問題があります、個人情報を更新してくださいというメールがフィッシング詐欺か検証する
2022.07.20 →【情報】 Amazon.co.jp:お客様のお支払い方法が承認されません #878-9432229-8829554というメールがフィッシング詐欺か検証する
関連記事
カテゴリ:フィッシング
タグ:Amazon,スパムメール,フィッシング詐欺
関連記事
人気記事
