Amazonを偽装した迷惑メール

この記事は約7分で読めます。

以下のメールが来ました。

一瞬、何事と思いましたが、

確認すべき事項

確認すべき事項

・送信元メールアドレス
・受信先メールアドレス
・誘導
・どうする

以下掘り下げていきます。

送信元メールアドレス

Amazon.co.jpと書いてありますが、送信元を調べると、
anonzom-update-account@gdyt0w.cn
となっています。
つまり、中国のドメインですが、南アフリカのケープタウンから中国のメールサーバーを使ったフィッシングメールです。

ちなみにメールヘッダーは、

Return-Path: <anonzom-update-account@gdyt0w.cn>
Received: from mspmv13.ake-mailbk.plala.or.jp ([172.23.13.213])
          by mta-eh11.plala.or.jp with ESMTP
          id <20210607053905.IGRG14495.mta-eh11.plala.or.jp@mspmv13.ake-mailbk.plala.or.jp>
          for <受信先メールアドレス>; Mon, 7 Jun 2021 14:39:05 +0900
Received: from mta-x12.ake-mailbk.plala.or.jp (HELO mta-x12.plala.or.jp) ([172.23.12.12])
  by mspmv.ake-mailbk.plala.or.jp with ESMTP; 07 Jun 2021 14:39:05 +0900
Received: from source:[106.75.84.246] helo:gdyt0w.cn by mta-x12.plala.or.jp
          with ESMTP
          id <20210607053905.XMZT16671.mta-x12.plala.or.jp@gdyt0w.cn>
          for <受信先メールアドレス>; Mon, 7 Jun 2021 14:39:05 +0900
Received: from vryl (unknown [45.207.61.110])
	by gdyt0w.cn (Postfix) with ESMTPA id 04C9C2A178D
	for <受信先メールアドレス>; Mon,  7 Jun 2021 13:20:47 +0800 (CST)
IronPort-HdrOrdr: =?us-ascii?q?A9a23=3A8igwS65R/q6O1IBrJQPXwPLXdLJyesId70hD?=
 =?us-ascii?q?6qkRc20zTiT7//rFoB1/73LJYVkqNE3I9eruBEDjewK5yXcF2/h1AV7KZmCP01?=
 =?us-ascii?q?dAR7sC0WKN+VPdMhy71+ZGkY98bqB1CbTLfDtHZL7BkWuF+q0boOW6zA=3D=3D?=
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: =?us-ascii?q?A1DNMQAcsL1gNPZUS2paHQEBPAEFBQECA?=
 =?us-ascii?q?QkBgW6BGQgbAgEBaSpNITY6MWODJz6QJAUBAQEBAQECBIE8IYNpl0GBewsBAQE?=
 =?us-ascii?q?BAQEBAQEbAh0OAgQBAYRpgWoBJUsCGAEBAQUBAQECAQYEBwEBAQEaEAUFJQEfh?=
 =?us-ascii?q?WiGZBcdAQE4FAREAgQ6BwkRHQeCYYJhJQEPiyScCoEygQGCBwEBBoV+bYEjAwY?=
 =?us-ascii?q?jgRUDAQEBhwMBAYFxV4FDhBaBEIFYhG0BhguCZBCBZ4VWjBsHkhScYweDHwWdc?=
 =?us-ascii?q?SulZIUmsEuEb4FNgWaCAgZWgUtQGQ6OVhqDGIZghBI0MkEKBAkBexMLAYkaawE?=
 =?us-ascii?q?B?=
X-iron-level: 0
DKIM-Filter: OpenDKIM Filter v2.11.0 gdyt0w.cn 04C9C2A178D
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gdyt0w.cn;
	s=default; t=1623043248;
	bh=Kyv6MSfkSZXQW7GnZTwIB2ptgs5fXOmqaLfW8HRgowQ=;
	h=Date:From:To:Subject:From;
	b=cZ2FOyEu/z0xFXOvbVul5FrtOd9fP60Msczfl8Mq1cF7x9Qjj1mXsMiIuQPJ6j+2s
	 Vv7zsaBSdWLAJv3Xs4Wk7U18Fji8KKNUiJ49SDC6qyJ3u+rG4bqkjnAIm6lKhUXpPS
	 KjcqFyMRrUP+ZbulaqOem0/n/UOfYj/ozIFkp7Qc=
Date: Mon, 7 Jun 2021 13:20:38 +0800
From: Amazon.co.jp <anonzom-update-account@gdyt0w.cn>
To: 受信先メールアドレス
Subject: =?UTF-8?B?77yc6YeN6KaB77ye0JBtYXpvbuOBiuWuouanmCDjgYrmlK/miZXjgYTmlrnms5U=?=
	=?UTF-8?B?44Gu5oOF5aCx44KS5pu05paw44GX44Gm44GP44Gg44GV44GE?=
X-Priority: 3
X-Has-Attach: no
X-Mailer: Foxmail 7, 0, 1, 91[cn]
Mime-Version: 1.0
Message-ID: <202106071320452461387@gdyt0w.cn>
Content-Type: multipart/alternative;
	boundary="=====001_Dragon081113082180_====="
X-spam-judge: ok

メールはFixmailを使ったようですね。

VPN使って中国から南アフリカのパソコン経由でメールしたのか、南アフリカに日本の反社が行ってメールしてるのかは知りませんが…

受信先メールアドレス

これは何個かあるメールアドレスの内のひとつでした。
つまり、Amazonで利用しているメールアドレスではありません。

このメールアドレス使っていないので、解約するかな

誘導

Amazonログインは以下のURLを含んでいました。

www-amazon.sinda-accbok.shop/

このURLを調べるとサーバはカリフォルニアのオークランドにありました。

結局、メールアドレスもサーバーも国外を使っても合法なので、犯罪者のやりたい放題です。

どうする

まず、見た目が本物そっくりの場合、下手くそな場合さまざまです。
いずれにしても
送信元メールアドレスや受信先メールアドレスを調べるだけでも本物かを調べることができます。
そして明らかに偽物なら迷わず削除してください。
もしくは迷惑メールとして登録して下さい。

偽物かわからない場合、googleで調べます。
大概掲載されてます。
また、銀行系の迷惑メールなら、銀行のホームページに詐欺メールの報告や、本物のメールアドレスはこれですと掲載されてます。

お金に関する事項であれば、メール本文からのクリックはしないで、かならずホームページを呼び出しそこで操作をします。AmazonならAmazonのホームページを呼び出し(https://www.amazon.co.jp/)アカウント&リストの中にあるお客様の支払い方法へと進むことでフィッシングを防ぐことができます。

メールアドレスが1つだけだと迷いますが、複数個のメールアドレスを使い分けることで、本物か確認することができます。

そしてGmailなら次の事もできます。
a.bcde@gmail.com
abcde@gmail.com
はGmailではどちらも同じメールアドレスとして処理されます。
企業に登録する際、a.bcde@gmail.comでしておいて、abcde@gmail.comにメールが送られたのなら、明らかに似せ物か、流出したという事がわかります。


信頼できる所用のメールアドレス、捨ててもいいメールアドレスなどGmailは無料なので何個も作って防衛してください

そしてパスワードの使い回しをしていると、流出した時が危ないです。
私はAmazon,Yahooなど決済があるものは、パスワードを12桁の大文字小文字などまぜで不規則にしています。
私も覚えていないので知りませんが。。。パスワード管理ソフトが必須です。

pc
シェアする
しろくまをフォローする

ブログランキング・にほんブログ村へ

地方に住むシロクマおやじのいい物セレクト!雑記も!

コメント