Amazon を詐称するフィッシング詐欺の記録。
Received: from rbn9q97kv.jyuukendou.com ([2400:8902::2000:81ff:fe40:f30])
From: Amazon.co.jp <amazon@rbn9q97kv.jyuukendou.com>
Subject: ごご発注を承りましたのでごご報告いたします
ご注文のご確認
お客様
このたびはごご依頼を賜り、誠にありがとうございます。
下記の内容にてごご注文を承りましたので、ごご査収ください。
ごご購入いただいた物品は、発送段取りが整い次第、順次発送手配いたします。
配達経過の詳細は、ボタンよりごご参照いただけます。
ごご用命内訳をご覧いただくする (https://baotongdai.com/xzcnugkv)
本メールはシステムからの自動配信です。
心当たりのない場合は、本メールを破棄していただきますようお願いいたします。
「ご」が2倍。
文中に Amazon の文字列はないものの、フィッシングサイトは左上に amazon.co.jp ロゴ。
- フィッシングサイト:
baotongdai.com - 送信元: Linode
InterNetX 登録、Cloudflare 収容。
確認時点で Cloudflare が「Suspected Phishing」と警告を出している。
From の jyuukendou.com はフィッシング詐欺メイル送信用ドメインと見て差し支えないように思われる。
SPF、DKIM ともに pass。Namecheap 登録、Cloudflare DNS。
rbn9q97kv.jyuukendou.com. 300 IN TXT "v=spf1 ip4:172.233.86.230 ip6:2400:8905::2000:10ff:fea4:1aaa ~all"
rbn9q97kv.jyuukendou.com. 300 IN MX 10 rbn9q97kv.jyuukendou.com.
rbn9q97kv.jyuukendou.com. 300 IN A 172.233.86.230
rbn9q97kv._domainkey.rbn9q97kv.jyuukendou.com. 300 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArNoPFnvY+5uG5/qKUE18s/ioOZJva4Px0z1u95CBTeaz6DNi+TT6RB37mFyWVLyF7qKNgqYUlX1S44hR54EFeHCSOfgjTEXriyuNCfv1w6QEF4HTz3wjv8SS5/HwB6mjh2Xgf6I9zsitwWsqemwqrY9c1Fe0JPTjMts6Fk4mcpbsfaV39jD99+DHEaqi/CDph" "8IxqjOgH/5/EnGJJFeXUd8TGXQV0Ete2HK1cwBS77tiQsclGFqTxKOw4dTsmcF/KtbgFgoMcqtx+JiYU1eWY+MBMTF92nAMmztnuEKuAsAjYaRpxVvg9WGnCtJIQwcPJZSa0HHpJQff3YcPqhcIwwIDAQAB"
IPv4 アドレスは Akamai 割当なので Linode。
メイル送信時から私の確認時までの間で IPv6 アドレスが変更されたようだ。