「新しいAmazonアカウントを確認します」というフィッシング詐欺メールの解析

公開日:2020/2/13

「新しいAmazonアカウントを確認します」というフィッシング詐欺メールが送られてきたので、解析してみます。

送られてくる文面は以下の通りです。

新しいAmazonアカウントを確認します

以下のコードを入力してください:

××××××

このコードを他の誰かと共有すると、その人がお客様のAmazonアカウントにアクセスできるようになるため、共有はしないでください。

Amazonアカウントにログインしていない場合、あなたのアカウントが盗まれた可能性がありますので、以下のリンクでパスワードを修正することができます

https://donation-yaho.nhygtbh[.]com/

コードの部分には6桁の数字が入ります。

送信元のFrom

From: Amazon <xqurycqw@vuhdndel.net>

1	From: Amazon <xqurycqw@vuhdndel.net>

Return-Path

Return-Path: <xqurycqw@vuhdndel.net>

1	Return-Path: <xqurycqw@vuhdndel.net>

Received:From

Received: from vuhdndel.net (unknown [152.32.141.46])

1	Received: from vuhdndel.net (unknown [152.32.141.46])

となっており、152.32.141.46というIPアドレスのvuhdndel[.]netというドメインから送信されていることが分かります。

ところが、このドメインはwhois情報がありません。

つまり、偽装されているということになります。

IPアドレスを調べてみると、

inetnum:        152.32.128.0 - 152.32.255.255
netname:        UHGL-HK
descr:          UCloud (HK) Holdings Group Limited
descr:          RM 1501.15F LUCKY CENTRE,165 Ã‚Â171
descr:          WANCHAI RD,WANCHAI
country:        HK　　　→　（香港）

inetnum: 152.32.128.0 - 152.32.255.255

netname: UHGL-HK

descr: UCloud (HK) Holdings Group Limited

descr: RM 1501.15F LUCKY CENTRE,165 Ã‚Â171

descr: WANCHAI RD,WANCHAI

country: HK　　　→　（香港）

香港のIPアドレスが用いられています。

誘導先も見てみます。

https://donation-yaho.nhygtbh[.]com/というドメインですが、nhygtbh[.]comのサブドメインですからこれのwhois情報を見てみます。

Domain Name: nhygtbh.com
Registry Domain ID: 2432098420_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2019-09-11T07:50:18Z
Creation Date: 2019-09-11T07:50:17Z
Registrar Registration Expiration Date: 2020-09-11T07:50:17Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Registrant Organization: 
Registrant State/Province: Jiangsu
Registrant Country: CN
Registrant Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com
Admin Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com
Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com
Name Server: HOLLY.NS.CLOUDFLARE.COM
Name Server: RAJEEV.NS.CLOUDFLARE.COM

Domain Name: nhygtbh.com

Registry Domain ID: 2432098420_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.godaddy.com

Registrar URL: http://www.godaddy.com

Updated Date: 2019-09-11T07:50:18Z

Creation Date: 2019-09-11T07:50:17Z

Registrar Registration Expiration Date: 2020-09-11T07:50:17Z

Registrar: GoDaddy.com, LLC

Registrar IANA ID: 146

Registrar Abuse Contact Email: abuse@godaddy.com

Registrar Abuse Contact Phone: +1.4806242505

Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited

Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited

Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited

Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited

Registrant Organization:

Registrant State/Province: Jiangsu

Registrant Country: CN

Registrant Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com

Admin Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com

Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com

Name Server: HOLLY.NS.CLOUDFLARE.COM

Name Server: RAJEEV.NS.CLOUDFLARE.COM

レジストラはgodaddy.comですが、登録者は中国のようです。

なお、このサイトはすでにフィッシング詐欺サイトとしてGoogleのSafe Browsingでも警告が表示されます。

くれぐれもアクセスして個人情報を入れたりしないようにしましょう。

カテゴリ：スパム,フィッシング
タグ：Amazon,新しいAmazonアカウントを確認します

「新しいAmazonアカウントを確認します」というフィッシング詐欺メールの解析

関連記事

Webサイトの改ざん復旧なら

人気記事

CCSIのサービス

無料ツール

「新しいAmazonアカウントを確認します」というフィッシング詐欺メールの解析

関連記事

「【重要】三井住友カード」というVpassIDおよびパスワード変更を促すメールを分析する

「【重要】三井住友カード株式会社から緊急のご連絡」三井住友カードを騙るフィッシング詐欺が発生

「2020年chromeアンケート。iPhone11を入手するチャンスがある」というメールが来たから解析してみる【詐欺】

Amazonアカウントは停止されていますというメールを解析する【Amazonフィッシング詐欺】

【楽天市場】お支払い方法を更新してください（自動配信メール）というメールの分析

Webサイトの改ざん復旧なら

人気記事

CCSIのサービス

無料ツール