Amazonプライムを騙る詐欺メールのリンク先は? 【フィッシング詐欺を調査】

スポンサーリンク

こんにちは。メールの整理をしていたら、「迷惑メール」フォルダに「Amazon」からのお知らせがありました。

でも、そのメールがちょっと変なんです。

最新(2020年10月時点)のフィッシングメールを見てみましょう。

スポンサーリンク

Amazonプライム(?)から「お支払い方法の情報を更新」というメールが来た?

まずは、どんなメールか見てみてください。

件名は「お支払い方法の情報を更新」で、差出人は「Amazon.co.jp」。

「***SPAM***  」というマークは、メールサーバーが追加してくれているものです。

見た目も本物っぽいですよね。

Amazonプライムを装ったメール
メールの文面

お支払い方法の情報を更新してください。Update default card for your membership.

Amazonプライムをご利用頂きありがとうございます。お客様のAmazonプライム会員資格は、2020/06/09に更新を迎えます。お調べしたところ、会費のお支払いに使用できる有効なクレジットカードがアカウントに登録されていません。クレジットカード情報の更新、新しいクレジットカードの追加については以下の手順をご確認ください。

  1. アカウントサービスからAmazonプライム会員情報を管理するにアクセスします。
  2. Amazonプライムに登録したAmazon.co.jpのアカウントを使用してサインインします。
  3. 左側に表示されている「現在の支払方法」の下にある「支払方法を変更する」のリンクをクリックします。
  4. 有効期限の更新または新しいクレジットカード情報を入力してください。

Amazonプライムを継続してご利用いただくために、会費のお支払いにご指定いただいたクレジットカードが使用できない場合は、アカウントに登録されている別 のクレジットカードに会費を請求させて頂きます。会費の請求が出来ない場合は、お客様のAmazonプライム会員資格は失効し、特典をご利用できなくなります。

Amazon.co.jpカスタマーサービス

[支払方法の情報を更新する]

「こないだAmazonのクレジットカードは設定したはずだけどなぁ、それに2020/06/09期限の話をなんで今頃」と思いつつ、慎重に読み進めてみました。

「迷惑メール」フォルダに入っている時点で怪しいですもんね。

怪しいポイント
  • メールを受け取ったタイミングがおかしい(6月のことがなぜ10月?)
  • 受け取ったメールアドレスでAmazonを利用していない
  • 迷惑メールに入っている

“http://amazonvvuc.xyz”って何?

こういうときは、ボタンのリンクURLをよく確認してみるに限ります。

すると、やっぱりリンクURLが変です。

「支払方法の情報を更新する」のボタンにマウスをポイントして、リンク先を表示してみると、「http://amazonvvuc.xyz/」と表示されました。

amazonのあとになんか変な文字列がある……

怪しいポイント
  • amazon.co.jpという正規のドメインではない
  • セキュリティ保護された「https」ではなく、「http」で始まっている

フィッシング詐欺サイトに誘導される

うん、やっぱり「フィッシング詐欺メール」ですね。

この怪しいサイトで、クレジットカード番号を入力してしまうと、不正利用されてしまうやつです。

試しに、どんなサイトか見てみます。

良い子は真似しないでね💦

Google Chromeで表示したんですが、「偽のサイトにアクセスしようとしています」というメッセージが表示されました。

エラー表示

偽のサイトにアクセスしようとしています

amazonvvuc.xyz では、悪意のあるユーザーによって、ソフトウェアのインストールや個人情報(パスワード、電話番号、クレジット カードなど)の入力といった危険な操作を行うよう誘導される可能性があります。詳細

アクセスしたページの URL、システム情報、およびページのコンテンツの一部を Google に送信して、ウェブ全体のセキュリティ強化にご協力ください。プライバシー ポリシー
amazonvvuc.xyz では最近、Google セーフ ブラウジングにより、フィッシング行為が検出されました。フィッシング サイトは、他のウェブサイトになりすましてユーザーを欺こうとするサイトです。

検出の問題をご報告ください。安全でないこのサイトにアクセスする場合は、セキュリティ上のリスクがあることをご承知おきください。

ちゃんとブラウザが注意を促してくれます。

偉いぞ!Google Chrome!

怖いもの見たさで表示してみると、そこには……

Chromeでは表示できなかったので、別のブラウザ(Safari)でアクセスしてみました。

それがこちら。

偽サイトの表示文面

没有找到站点
您的请求在Web服务器中没有找到对应的站点!

可能原因:

您没有将此域名或IP绑定到对应站点!
配置文件未生效!
如何解决:

检查是否已经绑定到对应站点,若确认已绑定,请尝试重载Web服务;
检查端口是否正确;
若您使用了CDN产品,请尝试清除CDN缓存;
普通网站访客,请联系网站管理员;

なぜ、中国語……?

翻訳してみます。

結果はこちら。

翻訳する

サイトが見つかりません
あなたのリクエストは、ウェブサーバーで対応するサイトを見つけられませんでした!

考えられる原因:

このドメイン名またはIPを対応するサイトにバインドしていません。

(以下略)

ということで、もうサイトが閉鎖されていました。

そもそもメールの差出人はAmazonだったの?

メールの「正しい差出人」は、調べることができます。

メールには、「ソース」という元データがあります。

メールソフトは読みやすいように、「ソース」から通常は不要な情報を省いて表示しています。

ということで、省かれている送信者情報を確認してみましょう。

例えばMacのメールの場合

メニューから「表示」→「メッセージ」→「ソース」で表示できます

そして表示したものがこちら。

ポイント

Return-Path: amazon@amazoncssw.xyz
(envelope-from amazon@amazoncssw.xyz)
Sender: amazon@amazoncssw.xyz
From: “Amazon.co.jp” account-update@amazon.co.jp

送信者表示(From)は、「account-update@amazon.co.jp」と本物に偽装していますが、返送先(Return-Path)や送信者(Sender)は、「amazon@amazoncssw.xyz」という謎のアドレスです。

あれ?「amazoncssw.xyz」は、さっきの「amazonvvuc.xyz」と違うドメイン名ね。

そうなんです。こういうドメインがたくさん取得されているんでしょうね。

フィッシング詐欺から身を守る仕組み

フィッシング詐欺」は、ずいぶん以前からあるネット詐欺の手法です。

偽サイトにクレジットカード番号やパスワードなどを入力させて、情報を盗み取る、という手口です。

偽サイトに引っ張り込むことから、「釣り(フィッシング)」と呼ばれます。

この詐欺手法は、最近では今回のように何重にもわたって保護する仕組みがあります。

フィッシング詐欺のセキュリティ
  • 迷惑メールのチェック
  • ブラウザの警告
  • サイトの閉鎖

ですので、用心するに越したことはないですが、きちんと仕組みを知っていれば、避けることができます。

「ネットは怖い」ですが、その分 利用者を保護する仕組みもたくさんあります。

ぜひ、安心して活用できる、お役に立てれば嬉しいです。

最後までお読みいただいて、ありがとうございます。

【おまけ】ドメイン情報を調べてみた

せっかくなので、”amazonvvuc.xyz”のドメイン情報を調べてみました。

「ドメイン」は、サイトのアドレスのことですが、これはドメインサービスに申請して登録する必要があります。

インターネットに接続している、世界中のコンピュータが自分のサイトに来ることができるように、公開する必要があるんです。

このドメインの所有者情報を「WHOIS情報」といい、しらべることができるんです。 

結果はこちら。

Domain Name: AMAZONVVUC.XYZ
Registry Domain ID: D203603648-CNIC
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com
Updated Date: 2020-10-09T14:16:59.0Z
Creation Date: 2020-10-09T14:05:26.0Z
Registry Expiry Date: 2021-10-09T23:59:59.0Z
Registrar: NameSilo, LLC
Registrar IANA ID: 1479
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant Organization: See PrivacyGuardian.org
Registrant State/Province: AZ
Registrant Country: US
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Name Server: NS1.DNSOWL.COM
Name Server: NS2.DNSOWL.COM
Name Server: NS3.DNSOWL.COM
DNSSEC: unsigned
Billing Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Registrar Abuse Contact Email: abuse@namesilo.com
Registrar Abuse Contact Phone: +1.4805240066
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2020-10-14T04:35:05.0Z <<<

For more information on Whois status codes, please visit https://icann.org/epp

>>> IMPORTANT INFORMATION ABOUT THE DEPLOYMENT OF RDAP: please visit
RDAP | Information | Support | CentralNic Registry
CentralNic - A world leading, customer focused Global Domain Name Registry that is expanding the Internet domain name space through gTLDs, ccTLDs and dotBrand r...
<<< The Whois and RDAP services are provided by CentralNic, and contain information pertaining to Internet domain names registered by our our customers. By using this service you are agreeing (1) not to use any information presented here for any purpose other than determining ownership of domain names, (2) not to store or reproduce this data in any way, (3) not to use any high-volume, automated, electronic processes to obtain data from this service. Abuse of this service is monitored and actions in contravention of these terms will result in being permanently blacklisted. All data is (c) CentralNic Ltd (https://www.centralnic.com) Access to the Whois and RDAP services is rate limited. For more information, visit https://registrar-console.centralnic.com/pub/whois_guidance. Domain Name: amazonvvuc.xyz Registry Domain ID: D203603648-CNIC Registrar WHOIS Server: whois.namesilo.com Registrar URL: https://www.namesilo.com/ Updated Date: 2020-10-10T07:00:00Z Creation Date: 2020-10-09T07:00:00Z Registrar Registration Expiration Date: 2021-10-09T07:00:00Z Registrar: NameSilo, LLC Registrar IANA ID: 1479 Registrar Abuse Contact Email: abuse@namesilo.com Registrar Abuse Contact Phone: +1.4805240066 Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited Registry Registrant ID: Registrant Name: Domain Administrator Registrant Organization: See PrivacyGuardian.org Registrant Street: 1928 E. Highland Ave. Ste F104 PMB# 255 Registrant City: Phoenix Registrant State/Province: AZ Registrant Postal Code: 85016 Registrant Country: US Registrant Phone: +1.3478717726 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: pw-efc2f6bd84cd43e82dc80c18afb162bf@privacyguardian.org Registry Admin ID: Admin Name: Domain Administrator Admin Organization: See PrivacyGuardian.org Admin Street: 1928 E. Highland Ave. Ste F104 PMB# 255 Admin City: Phoenix Admin State/Province: AZ Admin Postal Code: 85016 Admin Country: US Admin Phone: +1.3478717726 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: pw-efc2f6bd84cd43e82dc80c18afb162bf@privacyguardian.org Registry Tech ID: Tech Name: Domain Administrator Tech Organization: See PrivacyGuardian.org Tech Street: 1928 E. Highland Ave. Ste F104 PMB# 255 Tech City: Phoenix Tech State/Province: AZ Tech Postal Code: 85016 Tech Country: US Tech Phone: +1.3478717726 Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email: pw-efc2f6bd84cd43e82dc80c18afb162bf@privacyguardian.org Name Server: NS1.DNSOWL.COM Name Server: NS2.DNSOWL.COM Name Server: NS3.DNSOWL.COM DNSSEC: unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2020-10-13T07:00:00Z <<< For more information on Whois status codes, please visit https://icann.org/epp NOTICE AND TERMS OF USE: You are not authorized to access or query our WHOIS database through the use of high-volume, automated, electronic processes. The Data in our WHOIS database is provided for information purposes only, and to assist persons in obtaining information about or related to a domain name registration record. We do not guarantee its accuracy. By submitting a WHOIS query, you agree to abide by the following terms of use: You agree that you may use this Data only for lawful purposes and that under no circumstances will you use this Data to: (1) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via e-mail, telephone, or facsimile; or (2) enable high volume, automated, electronic processes that apply to us (or our computer systems). The compilation, repackaging, dissemination or other use of this Data is expressly prohibited without our prior written consent. We reserve the right to terminate your access to the WHOIS database at our sole discretion, including without limitation, for excessive querying of the WHOIS database or for failure to otherwise abide by this policy. We reserve the right to modify these terms at any time. Domains - cheap, easy, and secure at NameSilo.com
Attention Required! | Cloudflare
Register your domain now at www.NameSilo.com - Domains. Cheap, Fast and Secure

ちょっと英語でわかりにくいですが、2020年10月9日に取得されていることがわかります。

メールが届いたのが10月10日で、執筆時が10月14日なので、わずか数日で閉鎖されるんですね。

ドメイン取得者情報は?

ドメイン取得者の名前(Registrant Name)を見ると「Domain Administrator」としか書いてありません。

電子メールアドレスを見ると「pw-efc2f6bd84cd43e82dc80c18afb162bf@privacyguardian.org」となっています。

捨てメールアドレスっぽいですね。

そこで、「privacyguardian.org」を確認しました。

これは、匿名でドメインを取得するための代行サービスでした。

政治的な理由などで匿名で情報を公開することが必要な場合もあるとは思います。

しかし、偽サイトを登録した犯人の隠れ蓑にもなってしまいます。

ちなみに悪用されないためのチェックとして、「不正利用の通報(Report Abuse)」から、サイトアドレスと理由を送信することができます。

おそらく、この通報でサイトが閉鎖されたのでしょう。

不正サイトはいくらで作られている?

ドメインはnamesilo.comというサイトで取得されたようです。

別に宣伝したいわけではないのでリンクは張りませんが、”.xyz”のドメイン名だと、わずか$0.99(104 円)で取得できてしまうようです。

更新するつもりがないと、すごく安いんですね……
初回割引が悪用されるのは、なんか割り切れないです。

メールサーバー”amazoncssw.xyz”の方は?

メールサーバー”amazoncssw.xyz”についても、フィッシングサイトと微妙にアドレスが違っていたので、調べてみました。

こちらは、2020年10月3日に取得されて、10月11日に更新されていますね。

タイトルとURLをコピーしました