Mail, Security, World Wide Web

Amazon フィッシングメール

あまりしつこいので詳細を書いてみる。

昨日届いた最新のメールのサブジェクトは「[Amazon緊急の通知] プライムのお支払いにご指定のクレジットカード有効期限が切れています!」でこれまでは「[Amazon緊急の通知] 」の部分が「[緊急の通知] 」となっている。

本文はほぼ同じ内容が書かれている。

Amazon Spam
メールの本文

先日(2019年4月7日)に届いたメールの詳細を書く。

ヘッダー部分は

From – Sun Apr 7 18:52:17 2019
X-Account-Key: account4
X-UIDL: xxxxxxxxxx,S=23582
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys: : ここまで空白文字
Return-Path: <love9@hfhdgty.online>
Delivered-To: aaaaa@mail.bbb.com
Received: (qmail 862050 invoked by uid 89); 7 Apr 2019 17:32:37 +0900
Received: from core-000.000.000.000.digirock.jp (HELO ddd.eee.jp) (000.000.000.000)
by xxxxx with AES122-GCM-SHA256 encrypted SMTP; 7 Apr 2019 17:32:37 +0900
Received-SPF: softfail (xxxxx: transitioning SPF record at hfhdgty.online does not designate 000.000.000.000 as permitted sender)
Received: (qmail 213506 invoked by uid 89); 7 Apr 2019 17:32:35 +0900
Received: from unknown (HELO wmyddl) (love9@hfhdgty.online@103.246.154.93)
by b9.coreserver.jp with SMTP; 7 Apr 2019 17:32:35 +0900
From: =?utf-8?B?QW1hem9uZVvph43opoFd?= <love9@hfhdgty.online>
To: AAA <aaaaa@mail.bbb.com>
Subject: =?utf-8?B?W0FtYXpvbue3iuaApeOBrumAmuefpV0g44OX44Op44Kk44Og44Gu44GK?=
=?utf-8?B?5pSv5omV44GE44Gr44GU5oyH5a6a44Gu44Kv44Os44K444OD44OI44Kr44O844OJ5pyJ5Yq55pyf6ZmQ?=
=?utf-8?B?44GM5YiH44KM44Gm44GE44G+44GZ77yB?=
Date: Sun, 7 Apr 2019 16:32:21 +0800
Message-ID: <008b7416f767$9c2dc257$f735a13f$@wmyddl>
MIME-Version: 1.0
Status: U
X-UIDL: xxxxxxxxxx,S=23582
Content-Type: multipart/related;
boundary=”—-=_NextPart_000_0F84_01EF1B4E.19CECBD0″
X-Mailer: Microsoft Outlook 16.0
X-EsetId: 37303A294E098C6B6C7365

This is a multi-part message in MIME format.

——=_NextPart_000_0F84_01EF1B4E.19CECBD0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_001_0B85_01EF1B4E.19CECBD0″

——=_NextPart_001_0B85_01EF1B4E.19CECBD0
Content-Type: text/plain;
charset=”utf-8″
Content-Transfer-Encoding: base64

なお xxxxxxxxxx や aaaaa@mail.bbb.com , IP アドレスなど変更している。

Return-Path は毎回異なり

  1. fgdfgfdgs@www.as456d6a4s6das6d45as56d46as5d.host
  2. amazo0103@mkbvijcugf.site
  3. love9@hfhdgty.online

などがある。2は amazo で amazon の n が抜けているのもいいですね。加えて、この届いたこのメール・アドレスでは Amazon を利用していないし、いわんやプライム会員でもない。このメール・アドレスを使っている主なものは「宅ふぁいる便」で、先日の情報漏洩に関わると思われます。

宅ふぁいる便
宅ふぁいる便の情報漏洩の通知

それにしてもアマゾンのロゴを使ったり似せたデザインを作ったりとご苦労なことです。発信元が変わるので拒否できないため、フィルターを掛けてゴミ箱へ移動させるようにする。