Header

角島
検証したことをメモに残しています。そして将棋の話題など。

Amazonプライムを騙るフィッシングメールの実例

SC2 2019-03-21 reload 2021-08-21
Tags
Atom | RSS
このサイトを検索 | Search this site
スパムメール

2019年3月20日、
Amazonプライムを騙るフィッシングメールを受信しました。

Gmailの迷惑メールフィルタが仕事をしたので隔離されていました。

Gmail ユーザーでない方はAmazonメールと誤認しているかもしれないので、今回受信したフィッシングメールを公開したいと思います。

フィッシング被害の拡散防止の一助となれば幸いです。


実例

実際のメールはHTMLメール形式です。
黄色いフォームボタンを押すように誘導する内容だったのでヘッダー情報とテキスト文のみ掲載します。

spammail_190320


From:Amazon更新する
<eskldvour@b40.coreserver.jp>
To: xxx <xxx@xxx.xxx>
日付: 2019/03/20 20:27
件名: [緊急の通知] Amazoneプライムの自動更新設定を解除いたしました!

xxx様

お客様のご希望により、Amazonプライムの自動更新設定を解除いたしました。

「Amazonプライム会員情報の管理」ページで、自動更新の設定状況や会員期間の終了日をご確認いただけます。

期間が終了したら、 お急ぎ便無料 や プライム・ビデオ見放題 などのプライム会員特典のご利用ができなくなります。(主なプライム会員特典を確認するには こちらをクリックしてください)

プライム会員資格の継続で、2019/03/21からお使いいただける予定であった400ポイントを獲得 。

継続してプライム会員特典をお楽しみいただきたい場合は、「Amazonプライム会員情報の管理」ページにて「会員資格を継続する」 をクリックしてください。

Amazonプライムをご利用いただき、ありがとうございました。

spamform

フィッシング判定

Amazon プライムに加入してない方は、すぐにインチキだと気がつくと思います。

Fromと件名は次の通りです。

From:Amazon更新する
<eskldvour@b40.coreserver.jp>
件名: [緊急の通知] Amazoneプライムの自動更新設定を解除いたしました!

アマゾンのメールと誤認させるために、差出人(From)を「Amazon更新する」にしていますが、不自然で差出人らしくありません。

そして、

差出人が eskldvour@b40.coreserver.jp なので、メールヘッダーを確認する習慣のついている方は amazon.co.jp ドメインから送信されていないことに気がつくと思います。

さらに、

件名が ”アマゾネプライム(Amazone)” となっています。

裁判対策なのか、犯人がマヌケなのか...。?

まとめると次の通りです。

Fromcoreserver.jpアマゾンジャパンのドメインは amazon.co.jp なので明らかにおかしい
件名Amazoneアマゾンのスペルは Amazon
※e は不要

ぷららの迷惑メールフィルターは対策されていた模様

今回のフィッシングメールは「ぷらら」に送信されたものを、Gmailで受信しました。(私が転送設定している)

ぷららの迷惑メールフィルターオプションは件名の文頭に [meiwaku] を付加するハズですが、残念ながら [meiwaku] は付加されていませんでした。

犯人は、ぷららの迷惑メールフィルターをスルーする知恵を持っていました。
ぷららメールユーザーはご注意ください。

X-spam-judge
メールヘッダに [X-spam-judge: ok] を見つけました。

X-spam-judgeはぷららが迷惑メールと判定した時に追加する独自タグです。

送信者は、ヘッダーに [X-spam-judge: ok] を付加して送信したため、ぷららの迷惑メールフィルターは反応しなかったと思われます。

まとめ

今回のフィッシングメールは「会員情報の管理ページで確認」と書かれたフォームボタンをクリックさせて、Amazon の ID/パスワード を窃取しようと試みるものです。

差出人 From のメールアドレスはデタラメだと思いますが、本文中のフォームボタンに設定されたURLは差出人に繋がる情報のはずです。

フォームボタンには次のURLがセットされていました。

個人情報を扱うのにSSL通信(https)になっていないところがマヌケです。

http://www.amarzone-reg.com

そこで、amarzone-reg.com を aguse.jp で調べてみると、サーバーは南アフリカに設置されており、CloudInnovation infrastructure という組織が管理しているものだと分かりました。

南アフリカは遠すぎる...。

 External link
SC2
Windowsランキング 将棋ランキング スマホ・携帯ランキング にほんブログ村 IT技術ブログ ライフハックへ にほんブログ村 その他趣味ブログ 将棋へ

このサイトを検索 | Search this site
Tags
SC2

投稿者 SC2

将棋ウォッチャーのカシミヤです。(@sc2kzstock)検証したことをメモに残しています。質問は受け付けていません。Windows、Android、将棋の話題。 --- I am taking notes on what I have verified. No questions are accepted. Information welcome! (@sc2kzstock) Topics related to Windows, Android, free software, and Japanese chess.

コメントを投稿

0 コメント

コメントを投稿