Amazon を詐称するフィッシング詐欺

Amazon を詐称するフィッシング詐欺の記録。

Received: from mail.RbtVt.com (29.30.97.179.onixnet.net.br. [179.97.30.29])
From: "アマゾンカスタマーセンター"
Subject: Amazon注文に関する重要なお知らせ

Am​a​z​o​n​.​c​o​.​j​p

​注​文​に​関​す​る​お​知​ら​せ
​お​客​様​の​注​文​に​問​題​が​発​生​し​ま​し​た​。
​詳​細​に​つ​い​て​は​、​ア​カ​ウ​ン​ト​に​ロ​グ​イ​ン​し​て​ご​確​認​く​だ​さ​い​。

今す​ぐ​確​認​す​る (https://*.d183kb.shop/*)

​こ​の​メ​ー​ル​は​Am​az​on​.c​o.​jp​か​ら​送​信​さ​れ​ま​し​た​。

© Am​az​on​.c​o.​jp

• フィッシングサイト: *.d183kb.shop
• フィッシングサイト: www.internationalweddingplanning.com
• 送信元: GABRIEL S S SERVICOS DE TELECOMUNICACOES EIRELI

メイル記載の方は Dynadot、リダイレクト先は Spaceship で登録されたドメイン名。

最近の定番リスト:

• お名前.com (GMO)、Alibaba、Spaceship、eName、GNAME、Dynadot で登録されたドメイン名を使用
• Cloudflare による実 IP アドレス隠蔽
• メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
• Envelope-From は3～5文字 .com ドメイン名 (詐称)
• クレジットカード情報の入力を求める

www.internationalweddingplanning.com. 600 IN CNAME internationalweddingplanning.com.
internationalweddingplanning.com. 600 IN A      43.164.129.84

おなじみ Tencent。