本日の詐欺メール、Return-Pathも偽造
- (2025-02-14)
止むことがない詐欺メール来襲
毎日怪しいメールがどこからともなくやってくる。一見して詐欺メールとわかるものばかりであるが、今日はちょっと慣れない詐欺メールが来た。Amazonを名乗る詐欺メールだった。
( メール本文のスクリーンショット)
「Return-Path」の偽装
Return-Path: <auto-confirm@amazon.co.jp>
From: Amazonprime <auto-confirm@amazon.co.jp>
Subject: 新認証基準実施に伴うアカウント更新のお願い
メールの「From」偽装は簡単らしく偽装は多いが「Return-Path」は偽装されないメールアドレスが入れられているケースが多い。偽装がやや難しいのかな?だから今まで怪しいと思うとまずは「Return-Path」を見ていた。今回は「Return-Path」を見ても「amazon.co.jp」で一瞬「Amazonからかもしれない」と思ったことで目を引いた。
メール本文は:
・2025年度より開始される新決済システム(J-ICS 2.0)対応
・金融庁「デジタル決済安全基準」への準拠
・AI不正検知システムの最適化のため
偶然何か思い当たる節があると危険
本文中の「新決済システム(J-ICS 2.0)」って何だ?と思った。経済産業省がすべてのEC事業社に「3Dセキュア2.0」の導入を呼びかけているらしい、その導入期限が今年の3月とか話があったような記憶がある。
それで「J-ICS 2.0」は、もしや「3Dセキュアの件か?」と連想した・・このように読み手に偶然何か思い当たる節がある場合ダマされそうになる。「J-ICS 2.0」を検索するとそれらしいものは何もなく、目茶苦茶なコードを適当に入れたものらしい。
ターゲットURLが危ないサイト
「今すぐ更新する」ボタンを押すように誘導しているが、このボタンのURLがAmazonでなかったので、ここで詐欺メールと確信した。
URLは「paraisodelsolcr.com」というドメイン下のもの。このドメインは香港にて登録されていた。取得も最近なのである程度汚れたら廃棄するつもりの捨てドメインと思われる。
「Authentication-Results」を見る
メールに付属するヘッダ情報内の「Authentication-Results」を見ると「dkim=none、spf=fail、dmarc=fail」と全滅している。ここでもこの偽装メールであることが露呈している。
Authentication-Results: mx01.lolipop.jp; dkim=none; spf=fail (mx01.lolipop.jp: domain of auto-confirm@amazon.co.jp does not designate 207.126.167.115 as permitted sender) smtp.mailfrom=auto-confirm@amazon.co.jp; dmarc=fail reason="No valid SPF, No valid DKIM" header.from=amazon.co.jp (policy=quarantine)
「From」も「Return-Path」も全然Amazonと無関係なドメインのメールアドレスの場合は、Amazonでないことはすぐにわかるが、反面「dkim=pass、spf=pass、dmarc=pass」と全部「pass」になっていることが多いので、この場合は「Authentication-Results」を信じるべきでない。
しかし詐欺メールは日々レベルアップしている、彼らの努力には敬服ものである。