【迷惑メール】Amazonを偽装したフィッシングメールにご注意

本日Amazonを偽装したフィッシングメールが届きました。

メールの内容
スパムページの内容
1. 件名「残念ながらあなたのアカウントAmazon.co.jpはブロックされます」
2. 件名「Amazon. co. jp にご登録のアカウント（名前、パスワード、その他個人情報）の確認」（2018/11/9）
最後に

メールの内容

件名「アラート：あなたのアカウントは閉鎖されます。」

本文は以下の通り。

残念ながら、あなたのアカウント Amazon-Jp を更新できませんでした。
これは、カードが期限切れになったか、請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
ここでお支払い情報を更新してください。
https://amazon.co.jp/confirm/
リンクをクリックできない場合は、下記のアドレスをコピーしてブラウザに貼り付けてください：
ご不明な点がございましたら、お気軽にお問い合わせください。
宜しくお願いします、

ぱっと見はAmazonのURLでテキストメールのように見えますが、HTMLメールで飛び先のリンクはttp://secure-ama-zon.club/confirm/となっています。

スパムメールの添付ファイルを安全にチェックする方法

VirusTotalでチェックしてもフィッシングサイトとして既に認識されているようでした。

スパムページの内容

アクセスするとAmazonのログイン画面が表示されます。

適当なアドレスで入力したところ次はクレジットカードの情報を要求してきました。

こちらも適当に入力したところ、最後にAmazonにリダイレクトしました。

入力した内容をとにかく集めるためのフォームのようです。

使われているドメインはPA（パナマ）となっており、比較的最近取得しているようです。代理公開のサービスを使用しているようで持ち主はわかりませんでした。

件名「残念ながらあなたのアカウントAmazon.co.jpはブロックされます」

HTMLメールで送信されているため、一見アマゾンのリンクの用に見えますが、フィッシングサイトに誘導されますのでリンクはクリックしないほうが良いでしょう。

残念ながら私たちはAmazon.co.jpアカウントを更新できません

これは、カードが期限切れになった場合や請求先住所が変更された場合など、さまざまな理由で発生します。

今すぐあなたの情報を更新してください

https://amazon.co.jp/

ご不明な点がございましたら、お気軽にお問い合わせください。

宜しくお願いします、

ヘッダーをみるとワードプレスに設置したスクリプトから送信しているようです。

X-PHP-Script: socialmediaexecutive.co.uk/wp-content/uploads/assignments/kroz.php for 149.28.160.168
X-PHP-Originating-Script: 1031:kroz.php

該当のURL（socialmediaexecutive.co.uk）をVirusTotalでチェックするとやはりマルウェア、フィッシングサイトという結果がでました。

件名「Amazon. co. jp にご登録のアカウント（名前、パスワード、その他個人情報）の確認」（2018/11/9）

今回は以下の内容で届きました。ログインのリンクはフィッシングサイトですので、パスワードなど入力はしないように気をつけてください。

送信元はカナダのIPでした。

Аmazon お客様

残念ながら、あなたのアカウント Аmazon を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。
Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ： Amazonカスタマーサービス。
お知らせ:
パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon