「新しいAmazonアカウントを確認します」というフィッシング詐欺メールの解析

公開日:2020/2/13

「新しいAmazonアカウントを確認します」というフィッシング詐欺メールが送られてきたので、解析してみます。

送られてくる文面は以下の通りです。

新しいAmazonアカウントを確認します

以下のコードを入力してください:

××××××

このコードを他の誰かと共有すると、その人がお客様のAmazonアカウントにアクセスできるようになるため、共有はしないでください。

Amazonアカウントにログインしていない場合、あなたのアカウントが盗まれた可能性がありますので、以下のリンクでパスワードを修正することができます

https://donation-yaho.nhygtbh[.]com/

コードの部分には6桁の数字が入ります。

送信元のFrom

From: Amazon <xqurycqw@vuhdndel.net>

1	From: Amazon <xqurycqw@vuhdndel.net>

Return-Path

Return-Path: <xqurycqw@vuhdndel.net>

1	Return-Path: <xqurycqw@vuhdndel.net>

Received:From

Received: from vuhdndel.net (unknown [152.32.141.46])

1	Received: from vuhdndel.net (unknown [152.32.141.46])

となっており、152.32.141.46というIPアドレスのvuhdndel[.]netというドメインから送信されていることが分かります。

ところが、このドメインはwhois情報がありません。

つまり、偽装されているということになります。

IPアドレスを調べてみると、

inetnum:        152.32.128.0 - 152.32.255.255
netname:        UHGL-HK
descr:          UCloud (HK) Holdings Group Limited
descr:          RM 1501.15F LUCKY CENTRE,165 Ã‚Â171
descr:          WANCHAI RD,WANCHAI
country:        HK　　　→　（香港）

inetnum: 152.32.128.0 - 152.32.255.255

netname: UHGL-HK

descr: UCloud (HK) Holdings Group Limited

descr: RM 1501.15F LUCKY CENTRE,165 Ã‚Â171

descr: WANCHAI RD,WANCHAI

country: HK　　　→　（香港）

香港のIPアドレスが用いられています。

誘導先も見てみます。

https://donation-yaho.nhygtbh[.]com/というドメインですが、nhygtbh[.]comのサブドメインですからこれのwhois情報を見てみます。

Domain Name: nhygtbh.com
Registry Domain ID: 2432098420_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2019-09-11T07:50:18Z
Creation Date: 2019-09-11T07:50:17Z
Registrar Registration Expiration Date: 2020-09-11T07:50:17Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Registrant Organization: 
Registrant State/Province: Jiangsu
Registrant Country: CN
Registrant Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com
Admin Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com
Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com
Name Server: HOLLY.NS.CLOUDFLARE.COM
Name Server: RAJEEV.NS.CLOUDFLARE.COM

Domain Name: nhygtbh.com

Registry Domain ID: 2432098420_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.godaddy.com

Registrar URL: http://www.godaddy.com

Updated Date: 2019-09-11T07:50:18Z

Creation Date: 2019-09-11T07:50:17Z

Registrar Registration Expiration Date: 2020-09-11T07:50:17Z

Registrar: GoDaddy.com, LLC

Registrar IANA ID: 146

Registrar Abuse Contact Email: abuse@godaddy.com

Registrar Abuse Contact Phone: +1.4806242505

Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited

Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited

Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited

Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited

Registrant Organization:

Registrant State/Province: Jiangsu

Registrant Country: CN

Registrant Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com

Admin Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com

Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=nhygtbh.com

Name Server: HOLLY.NS.CLOUDFLARE.COM

Name Server: RAJEEV.NS.CLOUDFLARE.COM

レジストラはgodaddy.comですが、登録者は中国のようです。

なお、このサイトはすでにフィッシング詐欺サイトとしてGoogleのSafe Browsingでも警告が表示されます。

くれぐれもアクセスして個人情報を入れたりしないようにしましょう。

カテゴリ：
タグ：

「新しいAmazonアカウントを確認します」というフィッシング詐欺メールの解析

関連記事

関連記事

人気記事

CCSIのサービス

無料ツール

「新しいAmazonアカウントを確認します」というフィッシング詐欺メールの解析

関連記事

関連記事

ホンダがサイバー攻撃を受けシステム障害、一部工場が稼働停止に。ランサムウェアSNAKE（EKANS）に感染か

【三井住友カード】お届け情報変更受付のお知らせというメールがフィッシング詐欺か検証する

ホームセンターケーヨーデイツー、Webサイトの改ざん被害に

ビックカメラ.com：カード情報更新のお知らせというメールがフィッシング詐欺か検証する

コインハイブ事件、2審で逆転有罪に

人気記事

CCSIのサービス

無料ツール