「新しいAmazonアカウントを確認します」というフィッシング詐欺メールの解析

公開日:2020/2/13

「新しいAmazonアカウントを確認します」というフィッシング詐欺メールが送られてきたので、解析してみます。

送られてくる文面は以下の通りです。

新しいAmazonアカウントを確認します

以下のコードを入力してください:

××××××

このコードを他の誰かと共有すると、その人がお客様のAmazonアカウントにアクセスできるようになるため、共有はしないでください。

Amazonアカウントにログインしていない場合、あなたのアカウントが盗まれた可能性がありますので、以下のリンクでパスワードを修正することができます

https://donation-yaho.nhygtbh[.]com/

コードの部分には6桁の数字が入ります。

送信元のFrom

From: Amazon <xqurycqw@vuhdndel.net>

1	From: Amazon <xqurycqw@vuhdndel.net>

Return-Path

Return-Path: <xqurycqw@vuhdndel.net>

1	Return-Path: <xqurycqw@vuhdndel.net>

Received:From

Received: from vuhdndel.net (unknown [152.32.141.46])

1	Received: from vuhdndel.net (unknown [152.32.141.46])

となっており、152.32.141.46というIPアドレスのvuhdndel[.]netというドメインから送信されていることが分かります。

ところが、このドメインはwhois情報がありません。

つまり、偽装されているということになります。

IPアドレスを調べてみると、

inetnum:        152.32.128.0 - 152.32.255.255
netname:        UHGL-HK
descr:          UCloud (HK) Holdings Group Limited
descr:          RM 1501.15F LUCKY CENTRE,165 Ã‚Â171
descr:          WANCHAI RD,WANCHAI
country:        HK　　　→　（香港）

inetnum: 152.32.128.0 - 152.32.255.255

netname: UHGL-HK

descr: UCloud (HK) Holdings Group Limited

descr: RM 1501.15F LUCKY CENTRE,165 Ã‚Â171

descr: WANCHAI RD,WANCHAI

country: HK　　　→　（香港）

香港のIPアドレスが用いられています。

誘導先も見てみます。

https://donation-yaho.nhygtbh[.]com/というドメインですが、nhygtbh[.]comのサブドメインですからこれのwhois情報を見てみます。

Domain Name: nhygtbh.com
Registry Domain ID: 2432098420_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2019-09-11T07:50:18Z
Creation Date: 2019-09-11T07:50:17Z
Registrar Registration Expiration Date: 2020-09-11T07:50:17Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Registrant Organization: 
Registrant State/Province: Jiangsu
Registrant Country: CN
Registrant Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com
Admin Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com
Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com
Name Server: HOLLY.NS.CLOUDFLARE.COM
Name Server: RAJEEV.NS.CLOUDFLARE.COM

Domain Name: nhygtbh.com

Registry Domain ID: 2432098420_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.godaddy.com

Registrar URL: http://www.godaddy.com

Updated Date: 2019-09-11T07:50:18Z

Creation Date: 2019-09-11T07:50:17Z

Registrar Registration Expiration Date: 2020-09-11T07:50:17Z

Registrar: GoDaddy.com, LLC

Registrar IANA ID: 146

Registrar Abuse Contact Email: abuse@godaddy.com

Registrar Abuse Contact Phone: +1.4806242505

Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited

Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited

Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited

Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited

Registrant Organization:

Registrant State/Province: Jiangsu

Registrant Country: CN

Registrant Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com

Admin Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com

Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com

Name Server: HOLLY.NS.CLOUDFLARE.COM

Name Server: RAJEEV.NS.CLOUDFLARE.COM

レジストラはgodaddy.comですが、登録者は中国のようです。

なお、このサイトはすでにフィッシング詐欺サイトとしてGoogleのSafe Browsingでも警告が表示されます。

くれぐれもアクセスして個人情報を入れたりしないようにしましょう。

カテゴリ：スパム,フィッシング
タグ：Amazon,新しいAmazonアカウントを確認します

「新しいAmazonアカウントを確認します」というフィッシング詐欺メールの解析

関連記事

Webサイトの改ざん復旧なら

人気記事

CCSIのサービス

「新しいAmazonアカウントを確認します」というフィッシング詐欺メールの解析

関連記事

弁護人和田の「あな.た.の.為.のお金で.す」スパムメール(迷惑メール)を解析する

LINEにご登録のアカウント（名前、パスワード、その他個人情報）の確認というフィッシング詐欺メールを解析

Amazonアカウントは停止されていますというメールを解析する【Amazonフィッシング詐欺】

Amazonプライムの自動更新設定を解除いたしました！というフィッシング詐欺メールを解析する

[Icloud Notify]「あなたのアカウントは、2020年2月19日に別のデバイスからアクセスされました」というフィッシング詐欺メール

Webサイトの改ざん復旧なら

人気記事

CCSIのサービス