Amazonフィッシングのアレ
現時点で観測している、一番必死そうに配信されているAmazonフィッシングのアレ。今は配信していないパターンもある。
パターン1
From: update@amazon.co.jp or customer_service@Amazon.co.jp or support@amazon.co.jp or (Random)@amazon.co.jp or attention@ama-update.com (or Random Address)
Subject: Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新の知らせです。
Subject: Amazonプライムの自動更新設定を解除いたしました!
Subject: Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
パターン2
From: (Random)@amazon.co.jp (or Random Address)
Subject: Amazon.co.jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認
「Аmazon お客様」から始まる
トラッキング付き
※これはLINEフィッシングにも同じような様式でみられる
パターン3
From: amazon_care@(numeric or alphabet+numeric).(ccTLD) or account-security-noreply@(numeric).(ccTLD)
Subject: アカウントのセキュリティ審査を実施してください。
Subject: アカウント情報を更新、確認してください。
Subject: アカウントとオファーは一時的に禁止されます。
Subject: お客様のアカウント情報を完全して確認してください。
パターン4(今は来てないかも)
From: account-update@a m a z o n.c o.j p <account-update@ama.zon.co.jp>
Subject: [緊要]amazonアラート
※[]は実際は半角
「親愛なるお客様」から始まる
DDNSドメイン
パターン5(パターン2にあたるかも)
From: (Random)@(Exists domain)
Subject: 【必要なアクション】深刻なプライバシーの問題は、あなたのアカウントが自動的に無効になっています。
「Аmazon お客様」から始まる
トラッキング付き
パターン6(上記のどれかに当たるかも)
From: account-update@(amazo.(Exists domain?))
Subject: アカウント情報を更新してください
「Amazon お客様,」から始まる
トラッキング付き(account-update.(FQDN)?token=〜)
パターン7(パターン4か?)
From: account-update@amazom.(Exists domain)
Subject: [異常な活動] - アカウントを保護して下さい
※[]は実際は半角
「Amazonお客様,大変申し訳ございません、あなたのアカウントは閉鎖されます。」から始まる
DDNSドメイン
パターン8(上記のどれかに当たるかも / 多様多彩Subject)
From: payments-funds@amazon.co.jp
Subject: アカウントamazon-jpは24時間以内にブロックされま...
Subject: アカウントはAmazonを更新できません
Subject: amazon.co.jp:あなたのアカウントは未知の機器から...
Subject: あなたの口座情報を更新する
Subject: アカウントが一時停止
Subject: Amazonはここであなたの支払い情報を更新します。
Subject: Amazonアカウントはブロックされます
Subject: 今あなたのアカウントをチェックします。
Subject: Amazon登録書類をリセットする必要がある。
パターン9
From: autoconfirm+(random)@amazon.co.jp
Subject: 君の Amazon.co.jp 注文 の "Dell Alienware 15 Vindicator 2.0 Backpack, Black AWV15BP...". - 注文ID # #nnn-nnnnnnn-nnnnnnn
※#は実際は半角, nnnには数字が入る。商品名は変わるかも
「注文確認 親愛な(Toアドレス) ありがとうございました ために 私たちと買い物」から始まる
トラッキング付き(メール配信システム及びサイト)
パターン10
From: accut-update@ammazom.(FQDN) (確認済パターン)
Subject: [重要]:Амazоnアカウントは既にブロックされていますあなたの
※[]は実際は半角
「お客様各位,」から始まる
トラッキング付き
パターン11(10か?)
From: auto_confirm@(random).(exists domain?)
Subject: Amazоn.co.jp 支払い問題のアナウンス
パターン12(1や10かも)
From: update@annazon.(FQDN)
Subject: Amazonアラート サービス番号: [nnnnnn]
※[]は実際は半角
パターン13
From: (Random Address)
Subject: 【アクションが必要】[22日/12月/2019年] 無効な請求先住所が原因でアカウントが停止されました。
※[]は実際は半角、日付部分は配信日
「新しいアドレスが追加され、検証アカウントが不審なアクティビティを検出しましました。」から始まる
パターン14
From: payment@(exists domain)
Subject: Amazon.co.jp をご利用いただき、ありがとうございます。
「カードの利用承認が得られていません 注文番号: 503-〜 お客様各位(ToAddr) 下記注文のお支払いにご指定いただいたカードの利用承認が得られなかったことをお知らせいたします。再度問題が発生した場合は、その旨をEメールでお知らせいたします。なお、6日以内に変更または修正いただけなかった場合は、誠に勝手ながら、アカウントを閉鎖します。。」
パターンEX1(英語パターン)
From: (Random)@(Exists domain)
Subject: RE: [CASE nnnnnnnnn] in case your account has been supsended, please restore your account. November, 18 2019 PST
※[]は実際は半角、nは適当な数字、日付部分は配信日
"Hello Dear Customer," から始まる
余計なゴミを混ぜてあり、普通にコピペすると謎の数字が入るようになっている
リンク先は転送サービス? なおエンティティを使ってリンクを張っているようだ
URLにはトラッキングパラメーターが付いていたり付いていなかったりするものがある(意味不明な文字や16進数の羅列があるか否か。クッションサイトでリダイレクトに必要なパラメーターであってもトラッキング付きと判断する)。
プロバメールのフィルタをすり抜けるのは大抵Gmailとかを踏み台にしているのが殆どかもしれぬ。
蛇足(パターン3に似てそうな感じとか)
林檎フィッシング パターンのうちの一つ
From: apple_support@(numeric or numeric+alphabet or telno).(TLD)
Subject: できるだけ早くアカウント情報をご更新ください。
Subject: Apple IDアカウントの情報を完成してください。
Officeフィッシング
From: account-security-noreply@(numeric or numeric+alphabet).(TLD)
Subject: officeアカウント情報を完善してPinコードを設定。
楽天フィッシング1
From: noreply@(numeric or numeric+alphabet).(TLD)
Subject: 【重要】楽天株式会社から緊急のご連絡
楽天フィッシング2
From: myinfo@rakuten-co-jp(service or services or lservices or 62).(DDNS FQDN)
Subject: [楽天]ログインしましたか?(YYYY/MM/DD HH:MM)
※[]は実際は半角、YYYY/MM/DD HH:MMは配信日時
楽天フィッシング3
From: "order-verification@rakuten.co.jp" <(random)@(random FQDN)>
Subject: 【楽天市場】注文内容ご確認(自動配信メール)
※ショップの注文確認メールを装ったフィッシングメール
楽天フィッシング4
From: id@rakuten.co.jp
Subject: 楽天安全センター
JCBフィッシング
From: (Random)@jcb.co.jp
Subject: MyJCB Express News 重要な通知となります 2019/MM/DD
※MM/DDには配信日が入る