「2020年chromeアンケート。iPhone11を入手するチャンスがある」というメールが来たから解析してみる【詐欺】
「Amazon.co.jp ご登録のアカウント(名前、パスワード、その他個人情報)の確認」というメールを分析する【詐欺】
公開日: 最終更新日:
「Amazon.co.jp ご登録のアカウント(名前、パスワード、その他個人情報)の確認」というメールがきました。
このメールヘッダーを解析してみます。
送信元メールアドレスは、”amazon.co.jp” <support@amazon.co.jp>となっています。
|
1 |
From: "amazon.co.jp" <support@amazon.co.jp> |
ところが、リターンパスをみると、
|
1 |
Return-Path: <cqjjd@jun.net> |
となっています。
メルマガなどではこういうこともまあなくはいないですが、Amazonだというならこれはちょっと不審です。
リターンパスには大抵の場合真の送信者のメールアドレスが入っているので、初心者の人はまずここを見ると良いかも知れません。
では次にこのjun.netのwhois情報を調べてみます。
|
1 |
http://www.fabulous.com |
となっていて、ドメインパーキングになっているようです。
ではどこから送信されてきたのか、ホスト名、IPアドレスから追ってみましょう。
|
1 |
Received: from jun.net (v160-251-0-69.5t62.static.cnode.io [160.251.0.69]) |
となっています。
v160-251-0-69.5t62.static.cnode.ioは、cnode.ioのサブドメインです。
cnode.ioのwhois情報を見てみます。
|
1 2 3 4 5 6 7 |
Domain Name: CNODE.IO Registrar URL: www.onamae.com Updated Date: 2019-11-01T20:45:18Z Creation Date: 2015-07-16T01:45:37Z Registry Expiry Date: 2021-07-16T01:45:37Z Registrar Registration Expiration Date: Registrar: GMO Internet, Inc. d/b/a Onamae.com |
レジストラはGMOのお名前.comみたいですね。
IPアドレスを調べると、
|
1 2 |
descr: GMO Internet, Inc. country: JP → (日本) |
こちらもGMOのようですね。
いったいどこに誘導するつもりなのか、調べてみます。
メール本文はBase64でエンコードされているので、デコードします。
|
1 2 3 4 5 6 7 8 9 10 11 |
<P>Аmazon に登録いただいたお客様に、Аmazonアカウントの情報更新をお届けします。<BR>残念ながら、Аmazonのアカウントを更新できませんでした。<BR>今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。</P> <P><FONT color=#333333><SPAN style="FONT-SIZE: 14px">アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため <FONT size=3>Аmazon </FONT>アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。</SPAN></FONT><FONT color=#333333><BR><A class=button href="https://amazon.co.jp.updgkl.myhhkm.ph" target=_blank><STRONG><FONT color=black>Аmazon ログイン </FONT></STRONG></A></P> <P><SPAN style="FONT-SIZE: 14px"><B>なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。</B></SPAN></P> |
また例によって、リンク先URLの先頭にはhttps://amazon.co.jpがくっついていますね。
|
1 |
href="https://amazon.co.jp.updgkl.myhhkm.ph" |
ただ、amazon.co.jp.updgkl.myhhkm.phはmyhhkm.phのサブドメインですから、myhhkm.phのwhoisやサーバーを調べてみます。
.phはフィリピンのドメインです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
WHOIS info for myhhkm.ph Domain Name: myhhkm.ph Creation Date: Expiration Date: Updated Date: Registrar: Net-Chinese Co., Ltd. Registrant Name: hui xiang ling Registrant Organization: Registrant Street: shan xi sheng an kang shi han yin xian cheng guan zhen nan hai hao 43hao Registrant Street 2: Registrant Street 3: Registrant City: an kang shi Registrant State/Province: shan xi Registrant Postal Code: 235 Registrant Country: CN Registrant Email: a15...@... Name Server: hm2.alidns.com Name Server: hm1.alidns.com |
ドメインレジストラは、中国のhttps://www.net-chinese.com.tw/でした。
amazon.co.jp.updgkl.myhhkm.phのIPアドレスを調べてみると143.92.48.223とのこと。
|
1 2 3 4 5 6 7 8 9 10 11 12 |
inetnum: 143.92.48.0 - 143.92.63.255 netname: BGP48-0-63-255-HK descr: BGP CONSULTANCY PTE LTD descr: country: HK admin-c: RCPL3-AP tech-c: RCPL3-AP status: ALLOCATED NON-PORTABLE mnt-by: MAINT-RCPL-SG mnt-irt: IRT-RCPL-SG last-modified: 2019-11-19T01:56:43Z source: APNIC |
調べてみると、香港のクラウドホスティング会社のIPみたいですね。
ただ、管理者はこちらのようです。
|
1 2 3 4 5 6 7 8 9 10 11 |
irt: IRT-RCPL-SG address: No. 3, Pemimpin Drive, # 07-04 Lip Hing, Industrial Building,, Singapore Singapore 576147 e-mail: abuse@rackip.com abuse-mailbox: abuse@rackip.com admin-c: RCPL3-AP tech-c: RCPL3-AP auth: # Filtered remarks: abuse@rackip.com was validated on 2019-11-14 mnt-by: MAINT-RCPL-SG last-modified: 2019-11-14T02:49:46Z source: APNIC |
rackip.com(RACKIP CONSULTANCY PTE LTD、シンガポール)という会社ができました。
どんな会社なのでしょうか。
確認してみると、IPV4アドレスを購入・販売・リースする、とあります。
つまり、上記のIPアドレスもそうしたIPアドレスである可能性があるということですね。
なお、このサイトにクロームでアクセスしてみると、以下のようにアクセス制限がかかります。
安全な形でアクセスしてみると、
上記のように、入力ページに飛ばすフィッシングサイトだと分かります。
要約すると、
中国のレジストラで管理しているフィリピンドメインを、シンガポールのIPV4アドレスの販売・リース会社から手に入れたIPを香港のクラウドに割り振り、フィッシングサイトを運営、そのフィッシングサイトに誘導するメールを、日本のGMOのサーバーを使って身元を偽装して配信している、と考えることができます。
Amazonが全然出てきませんね、出てくるのはアジアのサービスばかりです。
もちろん詐欺メールだというのは直感的にわかるかもしれませんが、こうして詳しく見てみるとそれが良くわかります。
※2020/03/14
同一タイトルで文面の異なるものが確認されています。
文面は以下の通りです。
Аmazon お客様
残念ながら、あなたのアカウント
Аmazon を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため
Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。
Аmazon ログイン
なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。
パスワードを変更した覚えがない場合は、至急(03)-090-8848までお電話ください。
お知らせ:
パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。
どうぞよろしくお願いいたします。
Аmazon
(03)-090-8848という電話番号が出てきますが、決して電話しないようにしてください。
関連するこの記事も読まれています
2022.06.27 →amazon.co.jp アクションが必要です サインインというメールがフィッシング詐欺か検証する
2022.06.15 →【Amazon】重要なお知らせはタイムリーに処理してください というメールがフィッシング詐欺か検証する
2022.06.10 →【情報】 Amazon.co.jp:お客様のお支払い方法が承認されません #878-9432229-8829553というメールがフィッシング詐欺か検証する
2022.03.29 →【 アマゾン 】プ︉ライム会︉費のお支︉払い方︉法に問︉題が︉あり︉ます、更新してくださいというSMSがフィッシング詐欺か調査する
2022.03.07 →【アマソン】プライム会費のお支払い…というSMS(ショートメール)が詐欺かどうか調査する
2021.08.04 →Amazon Pay ご請求内容のお知らせ番号:460929421391というメールがフィッシング詐欺か検証する
2021.05.10 →【Amazon】注文状況が変更されましたというメールを分析する
2020.10.03 →🔴 Amazon. co. jp この措置を講じましたが、ご提供いただいた情報がカード発行会社のファイルの情報と一致していませんというメールがフィッシング詐欺か分析する
2020.10.01 →支払情報一致していませんというAmazonからのメールがフィッシング詐欺か検証する
関連記事
カテゴリ:フィッシング
タグ:Amazon,スパムメール,フィッシング詐欺
関連記事
人気記事
