Amazon を詐称するフィッシング詐欺の記録。
Received: from ldcrm.com (v160-251-104-39.j04a.static.cnode.io. [160.251.104.39])
From: Prime Amazon
Subject: プライム会員の満期通知
musashi@araki.jp 様
プライムをご利用いただきありがとうございます。
Primeの会費のお支払いにご指定いただいたお客様のお支払い方法が承認されないため、
Primeの会費(税込550円)をご請求することができませんでした。
現在、amazonプライム会員の特典はご利用いただけません。
3日以内にお支払方法を更新いただけない場合は、 お客様のamazonプライム会員資格はキャンセルされます。
引き続きamazonプライムの特典をご利用されたい場合、お支払い方法を更新するには、以下のリンクをクリックしてください。
会員ログイン
以下のURLをブラウザのアドレスバーに貼り付けてアクセスしてください
https://www.amazon.co.jp%oGnkXWfJIqA%0pZguxwCuTQif49X%qC7uTz7v02%BrIA2rf@ajfX0q-EsZHoX-hHqY8y-HL6qAr.ammyhoo.com?oq1=vE4tajDFU?dAzV2B_4s=TXTvVTJ_Mvgi_tiytK_yTn&eXNxeCV4_89v=S4wSXQWGavuhpDeVvpRohjXZ
© Prime International Ltd. 2025
引用文中に私のメイルアドレスが記載されているが、当該メイルアドレスへの「特定電子メール」の送信は禁止。
- フィッシングサイト: *.ammyhoo.com
- フィッシングサイト: ai.amin-lokjd.cloud
- 送信元: ConoHa (GMO)
難読化を頑張ってる。
文中 URL は SpamCop に読ませても https://www.amazon.co.jp 扱いされるほどの出来。
ammyhoo.com ではリダイレクト先 URL を Base64 エンコードして格納。
最近の定番リスト:
- お名前.com (GMO)、Alibaba、Spaceship で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- Envelope-From は3~5文字 .com ドメイン名 (詐称)
- クレジットカード情報の入力を求める
今回は両方とも Porkbun で登録されたドメイン名だった。