Amazonプライムの自動更新設定を解除いたしました！というフィッシング詐欺メールを解析する

公開日:2020/2/20

Amazonプライムの自動更新設定を解除いたしました！というフィッシング詐欺メールが来たので解析してみます。

文面は以下の通りです。

クレジットカード情報の更新、追加などにつきまして、以下の手順をご確認ください。アカウントサービスからAmazon情報を管理するページにアクセスして、更新してください。

また、Amazonプライム期間が終了したら、お急ぎ便無料やプライム・ビデオ見放題などのプライム会員特典のご利用ができなくなります。(主なプライム会員特典を確認するにはこちらをクリックしてください)。早めにお手続きの程よろしくお願い致します

継続してプライム会員特典をお楽しみいただきたい場合は、「Amazonプライム会員情報の管理」ページにて「会員資格を継続する」をクリックしてください。

会員情報の管理ページで確認

なお、72時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ： Amazonカスタマーサービス。

Amazonサービスをご利用いただき、ありがとうございました。

まず、送信元のFromとReturn-Pathを見てみます。

Return-Path: <qtt@amazon.co.jp>
From: Amazon <qtt@amazon.co.jp>

1 2	Return-Path: <qtt@amazon.co.jp> From: Amazon <qtt@amazon.co.jp>

ともにドメインはamazon.co.jpという正規のドメインの表示になっています。

送信元サーバーを見てみます。

Received: from amazon.co.jp (unknown [107.150.126.198])

1	Received: from amazon.co.jp (unknown [107.150.126.198])

ホスト名もamazon.co.jpとなっていますが、IPアドレスを確認してみると、

ISP	UCloud (HK) Holdings Group Limited
IP Threat	Clean IP

1 2	ISP UCloud (HK) Holdings Group Limited IP Threat Clean IP

香港のISPが出てきました。

次に、誘導先を確認します。

aws-verification[.]jp

1	aws-verification[.]jp

誘導先は、aws-verification[.]jp と、amazon.co.jpではありません。

awsという文言でアマゾンのように見えなくもないですが、ドメインのwhois情報を確認すると、

Domain Information: [ドメイン情報]
[Domain Name]                   AWS-VERIFICATION.JP

[登録者名]                      chuntian fengzi
[Registrant]                    chuntian fengzi

[Name Server]                   ns1.suspended-for.spam-and-abuse.com
[Name Server]                   ns2.suspended-for.spam-and-abuse.com
[Signing Key]                   

[登録年月日]                    2020/02/19
[有効期限]                      2021/02/28
[状態]                          Active
[最終更新]                      2020/02/20 00:45:19 (JST)

Contact Information: [公開連絡窓口]
[名前]                          chuntian fengzi
[Name]                          chuntian fengzi
[Email]                         sfju8323@163.com
[Web Page]                       
[郵便番号]                      230-7844
[住所]                          兵庫県bingku 332-3992, bingku
[Postal Address]                bingku 332-3992, bingku
[電話番号]                      +81.2342354443
[FAX番号]

Domain Information: [ドメイン情報]

[Domain Name] AWS-VERIFICATION.JP

[登録者名] chuntian fengzi

[Registrant] chuntian fengzi

[Name Server] ns1.suspended-for.spam-and-abuse.com

[Name Server] ns2.suspended-for.spam-and-abuse.com

[Signing Key]

[登録年月日] 2020/02/19

[有効期限] 2021/02/28

[状態] Active

[最終更新] 2020/02/20 00:45:19 (JST)

Contact Information: [公開連絡窓口]

[名前] chuntian fengzi

[Name] chuntian fengzi

[Email] sfju8323@163.com

[Web Page]

[郵便番号] 230-7844

[住所] 兵庫県bingku 332-3992, bingku

[Postal Address] bingku 332-3992, bingku

[電話番号] +81.2342354443

[FAX番号]

となっており、amazonではありません。

また連絡窓口となっている電話番号もおかしいですね。

+81は日本の国番号ですが、そのあとに10桁はおかしいです。

なお、この10桁の頭に0をつけると、中国、重慶市の電話番号になります。

メールアドレスのドメインを調査すると、

Registrant Organization: Guangzhou NetEase Computer System Co., Ltd
Registrant State/Province: Guangdong
Registrant Country: CN

Registrant Organization: Guangzhou NetEase Computer System Co., Ltd

Registrant State/Province: Guangdong

Registrant Country: CN

中国のものです。

送信元名はAmazon、送信者メールアドレスも送信サーバーホスト名もamazonですが、送信サーバーIPや誘導先などはすべて中国に関連しておりamazonは関係ないことが分かります。

カテゴリ：スパム,フィッシング
タグ：Amazon,スパムメール,フィッシング詐欺

Amazonプライムの自動更新設定を解除いたしました！というフィッシング詐欺メールを解析する

関連記事

関連記事

人気記事

CCSIのサービス

無料ツール

Amazonプライムの自動更新設定を解除いたしました！というフィッシング詐欺メールを解析する

関連記事

関連記事

ご利用のお知らせ【大丸松坂屋カード】というメールがフィッシング詐欺か調査する

「メールレポート：別のブラウザから新しいログインが検出されました。 2020年4月11日土曜日」のメールは詐欺なのか

RU: Transaction notice という、ロシア・ウクライナの戦争を利用した海外送金詐欺メール

[楽天]ログインしましたか？(2020/7/9 **:**)というメールがフィッシング詐欺か検証する

重要なお知らせ：アカウントが停止されました Thu, May 21, 2020 9:41 PM – 【Amazon】 在宅勤務というメールがフィッシング詐欺か検証する

人気記事

CCSIのサービス

無料ツール

[楽天]ログインしましたか？(2020/7/9 :)というメールがフィッシング詐欺か検証する

重要なお知らせ：アカウントが停止されました Thu, May 21, 2020 9:41 PM – 【Amazon】在宅勤務というメールがフィッシング詐欺か検証する