自宅ではOutlookで、スマホではGmailを使っているせいか、被害は基本的にないのだが、最近の詐欺メールが手抜き過ぎるのではと思ってしまった。
直近でもらったメール
件名:【重要】Amazon口座が違反していますので、本人認証をお願いします71
送信者: life <kic@GwI.life.org>
まず、詐欺をしようとしていて、『Amazon』を語ろうとしているのに、送信者自体がAmazonと全く関係ない名前である時点でもうなんともいえない。
しかも、ドメインが『life.org』と、英語で一単語かつorgドメイン。
再度『CMAN』で調べると、『pir.org』というサイトに行き着く。
PIR.orgとは
気になったので、pir.orgをチェックしてみた。
ドメインはhttps://thenew.org/org-people/に転送されているが、きちんとSSLがかかっている模様である。
件名:【重要】Amazon口座が違反していますので、本人認証をお願いします71
まず、最後の数字『71』が意味不明である。
多分、詐欺団体の判断用の数字であるが・・・。
メール本文
| 本文 | https://m.media-amazon.com/images/G/01/authportal/tiv/amazon_logo_RGB._CB424887820_.png あなたのアカウントは停止されました https://m.media-amazon.com/images/G/01/IS/TIV/3x1tesa282cfg0g.png ※本メールは重要なお知らせのため、メールを受け取らない設定をされている方にもお送りしております。ご了承ください。 こんにちは、アマゾンのアカウントを使って別のデバイスからログインしようと何度も試みられましたことを通知するメーセージです。 お客さまのアカウントを保護するために、アカウントを一時的にロックしました。 アカウントを>引き続き使用するには、24時間前に情報を更新することをお勧めします。それ以外の場合、あなたのアカウントは永久ロック。 確認用アカウント http://118.107.56.155/ap/signin?openid.pape.max_auth_age=0&openid.return_to=https%3A%2F%2Fwww.amazon.co.jp%2F%3Fref_%3Dnav_em_hd_re_signin&openid.identity=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.assoc_handle=jpflex&openid.mode=checkid_setup&key=a@b.c&openid.claimed_id=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&&ref_=nav_em_hd_clc_signin © 2021 Amazon.com, Inc. or its affiliates. All rights reserved. Amazon, Amazon.co.jp, Amazon Prime, Prime およびAmazon.co.jp のロゴは Amazon.com , Inc.またはその関連会社の商標です。 Amazon.com, 410 Terry Avenue N., Seattle, WA 98109-5210 |
長かったが、改行なしにそのままにした。
最初のドメイン『media-amazon.com』
VerisignでWHOISしてみた。
これ、Name Serverを見るとわかるが、『AWSDNS-xx.com』というのは、Amazon AWS出使っているDNSサーバのことである。
あれ?と思った方はさすがかも。
実は、『https://m.media-amazon.com/』というドメインは、正式なAmazonのドメインである。
つかり、media-amazon.comに入っているものは詐欺では使いにくいと言うことだ。
IPアドレス『118.107.56.155』
じゃ、詐欺団体はどこで?となると、その次の行にある、IPアドレス直のURLであろう。
CMANで確認すると、香港ぽいものが出てきた。
結論
Amazon独自のドメインを使うのはなかなか考えているが、問題は、送信者と、その次のIPなのではと思った。件名もちょっと微妙だったりするし・・・うーん、どこのユーザをターゲットにしているのか不思議である。
コメント