web-dev-qa-db-ja.com

これはAmazon Businessのメールフィッシングですか?

今日、私はアマゾンからであると主張するメッセージを受け取りました。 Screenshot 通常、離れた場所からフィッシングメールを見つけることができます。 (私はISPのAbuse&NOC部門で働いています。)しかし、これは少しずれているようです。フィッシングなら怖いです。

現実的ではないという1つのヒントは、それがKennethがない{Q&AのA}@eoni.comのアドレスに送信されたということです(これは、ドメインホスティングも行うISPのテクニカルサポートアドレスです) )。彼らがそのアドレスを使用しているという事実は、アドレスが自動的に収集された可能性があると私に思わせます(おそらくだれでも)。私たちがホストするドメインの1つがKennethという名前の顧客向けであり、そのドメインのどこかにwhoisレコードの連絡先アドレスがある可能性があります。ホストされているドメインが十分にあるため、名だけではドメイン名を検索し、whoisレコードを確認するのに十分ではありません。

虐待部門にいるので、これが本当かどうかを知りたかったのです(そうでない場合、またはフィッシングである場合にネットワークでの作業をブロックした場合に報告できるように)。

ヘッダーは次のとおりです。

Return-Path: <01010157e278aa63-283a615a-b603-4300-8c6f-8426b3978f81-000000@us-west-2.amazonses.com>
Delivered-To: {a in Q&A}@eoni.com
Received: (qmail 8542 invoked from network); 20 Oct 2016 14:22:22 -0000
Received: from a27-163.smtp-out.us-west-2.amazonses.com (HELO a27-163.smtp-out.us-west-2.amazonses.com) (54.240.27.163)
    by adam6.eoni.com with (AES128-SHA encrypted) SMTP
    (9d6af486-96d0-11e6-bacc-001e67492cec); Thu, 20 Oct 2016 07:22:22 -0700
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
    s=iapqtturmhylirl6i5t3a2ps2ewsadsl; d=business.Amazon.com;
    t=1476973341;
    h=Message-ID:Date:Subject:From:To:MIME-Version:Content-Type:List-Unsubscribe;
    bh=CqDwwona4ZmOCsT+zgi3DKmE5lkxklMdpT65fdXrB1c=;
    b=UAkSuvsci14jfOFm+fW8S5l3ntdIbESTZB8eHvo6+itz4xiYy9sxXQ1RoXIJIGq9
    3ny5HJIKyI6wkjKRWnX6TQ3EHhDqDFlkB75Z1NzHNlp/5NUA8cEa6ua+wq1sWdyG33o
    k5gn5Kkz3v72uQMAhT6Dqq/3DSW9ipDMzrHF12Fs=
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
    s=gdwg2y3kokkkj5a55z2ilkup5wp5hhxx; d=amazonses.com; t=1476973341;
    h=Message-ID:Date:Subject:From:To:MIME-Version:Content-Type:List-Unsubscribe:Feedback-ID;
    bh=CqDwwona4ZmOCsT+zgi3DKmE5lkxklMdpT65fdXrB1c=;
    b=BdhqUbp6t3dhXe83M3isFcjV2hXaT6rAhCxPN/WXWepJngjhi1EO3Sgd5SbkaEjj
    6dzzlfljD+nKTJH2r9Kd1COeXqc5tgSeMEmVYV1TpmIRhc1fU9RUULRKG4ojxs0msSb
    RDRzSCa83Se484s7KDNwb5LWixFn7jo3oL7DFKx0=
Message-ID: <01010157e278aa63-283a615a-b603-4300-8c6f-8426b3978f81-000000@us-west-2.amazonses.com>
Date: Thu, 20 Oct 2016 14:22:21 +0000
Subject: Free Upgrade to Amazon Business Account
From: Amazon <[email protected]>
To: {A in Q&A}@eoni.com
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="_=_Swift_v4_1476973341_6e5cebc34b840a2a68132f6e212fdc76_=_"
X-Pardot-Route: 113:54552:359489270
List-Unsubscribe: <http://www.amazonbusiness.com/unsubscribe/u/54552/6674f6c0dd8377b4a26688a664718cffd707396fd788791d186acab4a81bd210/359489270>
X-Report-Abuse-To: [email protected]
X-SES-Outgoing: 2016.10.20-54.240.27.163
Feedback-ID: 1.us-west-2.DslCQSzKRwSQ0bYxCfi+GcY39H31l7QrR+kFUIOTrc4=:AmazonSES
X-MagicMail-OS: Inactive
X-MagicMail-UUID: 9d6af486-96d0-11e6-bacc-001e67492cec
X-MagicMail-SourceIP: 54.240.27.163
X-MagicMail-RegexMatch: 0
X-MagicMail-EnvelopeFrom: <01010157e278aa63-283a615a-b603-4300-8c6f-8426b3978f81-000000@us-west-2.amazonses.com>
X-MagicMail-Original-Destination: {A in Q&A}@eoni.com
X-MagicMail-Quarantine: Yes

ヘッダーを見ると、AWSメールサービスであると私が信じているものであることがわかります。 (誰でもそれを購入してメールを送信できます)。だから、それがアマゾンだと私に納得させない。セールスフォースのB2BマーケティングオートメーションシステムであるPardotについて、いろいろなことがわかります。それはアマゾンの家にないのは奇妙に思えますが、彼らはそのようなシステムを使用することができました。だから何を考えればいいのかわからない。

これが攻撃である場合、何らかの方法で機能する必要があります。リンクはどこに行くのですか?

アカウントを作成:http:/www.amazonbusiness.com/e/54552/gistration-start-ref-b2b-e459b/jt2hvr/359489270

退会:http:/www.amazonbusiness.com/preferences/?ehash = 6674f6c0dd8377b4a26688a664718cffd707396fd788791d186acab4a81bd210&email_id = 359489270

メール設定を更新:http:/www.amazonbusiness.com/preferences/?ehash = 6674f6c0dd8377b4a26688a664718cffd707396fd788791d186acab4a81bd210&email_id = 359489270

これらにはSSLはありませんが、[アカウントを作成する]がリダイレクトするものは次のとおりです。

https:/www.Amazon.com/ap/signin?openid.return_to = https%3A%2F%2Fwww.Amazon.com%2Fbb%2Fregistration%2Fconfirmation%2Fref%3Db2b_reg_st_rd&openid.identity = http%3A%2F%2Fspecs.openid 。 %2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.pape.max_auth_age = 0&siteState = pageFlowType%3DLOGIN%2CclientContext%3D168-4326428-9305323%2CsourceUrl%3Dhttps%253A%252F%252Fwww.Amazon.com%252Fbb%252Fregistration %252Fconfirmation%252Fref%253Db2b_reg_st_rd%2Csignature%3DLXjj2FO0jmvxdiEVn0vZfa3j2BZbIE4j3D&ref_ = null

OK、このamazonbusiness.comドメインはどこでホストされていますか?名前は誰が所有していますか?確かに、AmazonはすべてのサイトをAWSでホストしますよね?

Dig a  www.amazonbusiness.com

; <<>> Dig 9.10.3-P4-Ubuntu <<>> a www.amazonbusiness.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58074
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.amazonbusiness.com.        IN  A

;; ANSWER SECTION:
www.amazonbusiness.com. 820 IN  CNAME   go.pardot.com.
go.pardot.com.      7199    IN  CNAME   pi.pardot.com.
pi.pardot.com.      29  IN  CNAME   pi-dfw.pardot.com.
pi-dfw.pardot.com.  29  IN  CNAME   pi-dfw-lb1.pardot.com.
pi-dfw-lb1.pardot.com.  899 IN  A   136.147.104.32

;; Query time: 57 msec
;; SERVER: 192.168.88.1#53(192.168.88.1)
;; WHEN: Thu Oct 20 08:21:50 PDT 2016
;; MSG SIZE  rcvd: 143

それをAmazon.com自体と比較してください。

Dig a Amazon.com

; <<>> Dig 9.10.3-P4-Ubuntu <<>> a Amazon.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40326
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;Amazon.com.            IN  A

;; ANSWER SECTION:
Amazon.com.     23  IN  A   54.239.25.208
Amazon.com.     23  IN  A   54.239.17.7
Amazon.com.     23  IN  A   54.239.26.128
Amazon.com.     23  IN  A   54.239.25.192
Amazon.com.     23  IN  A   54.239.17.6
Amazon.com.     23  IN  A   54.239.25.200

;; Query time: 1 msec
;; SERVER: 192.168.88.1#53(192.168.88.1)
;; WHEN: Thu Oct 20 09:02:34 PDT 2016
;; MSG SIZE  rcvd: 124

では、だれが偽のサイトのIPアドレス空間を所有しているのでしょうか。

whois 136.147.104.32

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#


#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=136.147.104.32?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#

NetRange:       136.147.0.0 - 136.147.255.255
CIDR:           136.147.0.0/16
NetName:        SFDC-3
NetHandle:      NET-136-147-0-0-1
Parent:         NET136 (NET-136-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS14340
Organization:   Salesforce.com, Inc. (SALESF-3)
RegDate:        2012-02-24
Updated:        2014-07-14
Ref:            https://whois.arin.net/rest/net/NET-136-147-0-0-1


OrgName:        Salesforce.com, Inc.
OrgId:          SALESF-3
Address:        1 Market Street
Address:        Suite 300
City:           San Francisco
StateProv:      CA
PostalCode:     94105
Country:        US
RegDate:        1999-11-30
Updated:        2014-11-20
Ref:            https://whois.arin.net/rest/org/SALESF-3


OrgAbuseHandle: NOC1403-ARIN
OrgAbuseName:   Network Operations Center
OrgAbusePhone:  +1-415-901-7000 
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    https://whois.arin.net/rest/poc/NOC1403-ARIN

OrgNOCHandle: NOC1403-ARIN
OrgNOCName:   Network Operations Center
OrgNOCPhone:  +1-415-901-7000 
OrgNOCEmail:  [email protected]
OrgNOCRef:    https://whois.arin.net/rest/poc/NOC1403-ARIN

OrgAbuseHandle: SAN76-ARIN
OrgAbuseName:   Salesforce Abuse NOC
OrgAbusePhone:  +1-703-463-3219 
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    https://whois.arin.net/rest/poc/SAN76-ARIN

OrgTechHandle: NOC1403-ARIN
OrgTechName:   Network Operations Center
OrgTechPhone:  +1-415-901-7000 
OrgTechEmail:  [email protected]
OrgTechRef:    https://whois.arin.net/rest/poc/NOC1403-ARIN

RNOCHandle: NOC1403-ARIN
RNOCName:   Network Operations Center
RNOCPhone:  +1-415-901-7000 
RNOCEmail:  [email protected]
RNOCRef:    https://whois.arin.net/rest/poc/NOC1403-ARIN

RAbuseHandle: SAN76-ARIN
RAbuseName:   Salesforce Abuse NOC
RAbusePhone:  +1-703-463-3219 
RAbuseEmail:  [email protected]
RAbuseRef:    https://whois.arin.net/rest/poc/SAN76-ARIN

RTechHandle: NOC1403-ARIN
RTechName:   Network Operations Center
RTechPhone:  +1-415-901-7000 
RTechEmail:  [email protected]
RTechRef:    https://whois.arin.net/rest/poc/NOC1403-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

AWSではありません。 Amazon.comをホストしているIPアドレス空間の所有者と比較してください。

whois 54.239.26.128

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#


#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=54.239.26.128?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#

NetRange:       54.224.0.0 - 54.239.255.255
CIDR:           54.224.0.0/12
NetName:        Amazon-2011L
NetHandle:      NET-54-224-0-0-1
Parent:         NET54 (NET-54-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS16509
Organization:   Amazon Technologies Inc. (AT-88-Z)
RegDate:        2012-03-01
Updated:        2012-04-02
Ref:            https://whois.arin.net/rest/net/NET-54-224-0-0-1


OrgName:        Amazon Technologies Inc.
OrgId:          AT-88-Z
Address:        410 Terry Ave N.
City:           Seattle
StateProv:      WA
PostalCode:     98109
Country:        US
RegDate:        2011-12-08
Updated:        2014-10-20
Comment:        All abuse reports MUST include:
Comment:        * src IP
Comment:        * dest IP (your IP)
Comment:        * dest port
Comment:        * Accurate date/timestamp and timezone of activity
Comment:        * Intensity/frequency (short log extracts)
Comment:        * Your contact details (phone and email) Without these we will be unable to identify the correct owner of the IP address at that point in time.
Ref:            https://whois.arin.net/rest/org/AT-88-Z


OrgTechHandle: ANO24-ARIN
OrgTechName:   Amazon EC2 Network Operations
OrgTechPhone:  +1-206-266-4064 
OrgTechEmail:  [email protected]
OrgTechRef:    https://whois.arin.net/rest/poc/ANO24-ARIN

OrgAbuseHandle: AEA8-ARIN
OrgAbuseName:   Amazon EC2 Abuse
OrgAbusePhone:  +1-206-266-4064 
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    https://whois.arin.net/rest/poc/AEA8-ARIN

OrgNOCHandle: AANO1-ARIN
OrgNOCName:   Amazon AWS Network Operations
OrgNOCPhone:  +1-206-266-4064 
OrgNOCEmail:  [email protected]
OrgNOCRef:    https://whois.arin.net/rest/poc/AANO1-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

Amazon.comはAWSを利用しています。

現時点では、メールが偽物であるかどうかはわかりません。それは...ですか?もしそうなら、それはどのように機能しますか? OpenIDで何かをしているようですが、何が起こっているのですか?どうすれば将来確実に知ることができますか?

9
Azendale

私はそうだと思います http://amazonbusiness.com にアクセスしたばかりで、302が https://www.Amazon.com/gp/help/customer/displayにリダイレクトしました.html /?nodeId = 50851 これはビジネスページではありません。

Amazonビジネスをグーグル検索すると、検索結果は https://www.Amazon.com/business で、 https://www.Amazon.com/b2b/info/Amazonにリダイレクトされます-business?layout = landing これはまさにAmazonビジネスページです。

これらの人は良いです。

2
Topher Brink

フィッシング;ほぼ同じメールが届きました。私は、Amazonから送信されたものではなく、悪意のあるものとして扱う必要があることを確認できました。

受信したメールは「[email protected]」から送信されました。それはグラフィックスとは少し異なる外観と最初の行の異なる言葉遣いを持っていますが、同じリンクを含み、有効なAmazonログオンページに到達する前にopによって示された同じ不審なパスを介してルーティングされました。

私はメールをAmazonに送信し、それが彼らによって送信されなかったことを彼らが確信している電話で彼らに連絡しました。 Amazonは、すべての通信のログを保持すると述べた。あなたが受け取った電子メールについて彼らに連絡すれば、彼らはそれが彼らから送られたものかどうかを素早く確認することができます。

これがフィッシングかどうかの疑問を解消するのに役立つことを願っています。

4
RockGardener

URL amazonbusiness.comは、正当なAmazonドメインのようです。 ICANNは、そのURLとAmazon.comの両方に同じ登録者情報を表示します。

登録の詳細が偽装されている場合、両方に同じホストマスターの電話と電子メールがあります。したがって、有効なAmazonドメインであるかどうかを尋ねることができます。

4
ShadoCat