カテゴリ:インターネット
戻る  トップ

Amazonを騙るフィッシングメール

2019.05.09

 一見、本物に見える詐欺メールが届きました。冷静に観察すると変なとこだらけです。

 まず、メールの受信日時は2019/5/8(水)03:59なのですが、本文「お客様のAmazonプライム会員資格は、2019/04/23に更新を迎えます。」となっています。時系列が合いません。

そのほかは、パッと見る限り怪しいところは無い様に感じますが・・

次に、発信者の「Amazon」とありますが、メールヘッダでアドレスを調べてみると・・
From: Amazon <xazevzcmt@huh.us
・・huh.usってどこ?

whois情報を参照してみると、GoDaddy.com, Inc.というホスティング業者になっています。Amazonが他社のホスティングサービスなんか使いますか?
[root@kappagojira /]# whois huh.us
[Querying whois.nic.us]
[whois.nic.us]
Domain Name: huh.us
Registry Domain ID: D1827441-US
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: whois.godaddy.com
Updated Date: 2019-04-08T10:10:07Z
Creation Date: 2002-04-24T15:28:27Z
Registry Expiry Date: 2020-04-23T23:59:59Z
Registrar: GoDaddy.com, Inc.
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Registry Registrant ID: CA32BCD3B902044CC92AF921FF8F1E2F1-NSR
Registrant Name: Domain Administrator
Registrant Organization: NameFind LLC
Registrant Street: 1 Main Street, Suite 1120
Registrant Street:
Registrant Street:
Registrant City: Cambridge
Registrant State/Province: Massachusetts
Registrant Postal Code: 02142
Registrant Country: us
Registrant Phone: +1.7813736856
Registrant Phone Ext:
Registrant Fax: +1.4259744689
Registrant Fax Ext:
Registrant Email: admin@namefind.com
Registrant Application Purpose: P3
Registrant Nexus Category: C11
Registry Admin ID: CBDF5B1E6730C4A6AABEDF81BCE9F897B-NSR
(~以下省略~)

ちなみに本物のwww.amazon.co.jpは、当然Amazon AWSですよ。
[root@kappagojira /]# host www.amazon.co.jp
www.amazon.co.jp is an alias for www.cdn.amazon.co.jp.
www.cdn.amazon.co.jp is an alias for dtioykqj1u8de.cloudfront.net.
dtioykqj1u8de.cloudfront.net has address 13.35.65.190

[root@kappagojira pages]# whois 13.35.65.190
[Querying whois.arin.net]
[whois.arin.net]
(~省略~)
Amazon Technologies Inc. AT-88-Z (NET-13-32-0-0-1) 13.32.0.0 - 13.47.255.255
Amazon.com, Inc. AMAZO-CF (NET-13-35-0-0-1) 13.35.0.0 - 13.35.255.255
(~省略~)


そして、メール本文にある「支払方法の情報を更新する」のURLを調べてみると、なんか微妙に違う。
http://www.amazoene.com/
amazoene って、ナンて読むの?(笑)

これもIPアドレスとwhois情報を調べてみると、yunduoidc という中国のデータセンタ?です。
[root@kappagojira pages]# host www.amazoene.com
www.amazoene.com has address 104.149.244.186

[root@kappagojira pages]# whois 104.149.244.186
[Querying whois.arin.net]
[Redirected to rwhois.psychz.net:4321]
[Querying rwhois.psychz.net]
[rwhois.psychz.net]
(~省略~)
network:Org-Name:yunduoidc
network:Street-Address:guangdong
network:City:guangzhou
network:State:guangdong
network:Postal-Code:510000
network:Country-Code:CN
(~省略~)
 


開いてみるとこんなページです。これもパッと見、違和感無い様に思えますが、ページタイトルが「Amazoneログイン」になってるし(アマゾーン?)・・
決してこのフォームにメールアドレス・パスワードを入力してはいけません。万が一入力・ログインしてしまった場合は、ウィルス感染していないかチェック(インターネットから切断した方がいいかも)・正規Amazonサイトでパスワード変更・クレジット会社へ連絡する等、即刻対策が必要です。

パスワードを忘れた場合・利用規約・プライバシー規約・ヘルプのリンクをクリックしても画面が遷移しません。

htmlソースを覗いてみたら、↓こんなことになっていました。

リンク先(href=)が全部「#」です。詰めが甘いですね。

という訳で無事にゴミ箱行きにしました。まだこの様にして明らかに変なところだらけなので見分けることができましたが、そのうちもっと精巧になってくるのでしょうか。

パスワードやクレジットカード番号を要求するメールは怪しいものとして疑うべきですね。
 

2019.5.11(土)別パターンです。

宛先が update@jpamaeil.info というメーリングリストの様な送り方です。
本文の日本語も不自然です。

差出人のアドレスも覗いてみると・・

・・です。

本文の「今すぐアップデート」をクリックすると・・

すでにchromeではフィッシングサイトである情報が行き渡っている様です。こうなれば騙される人もかなり減るのでしょうが、仕掛ける側は次々と別のwebサイトを用意するのでしょうね。

 

コメント  説明

 



カテゴリ:インターネット

戻る  トップ