『詐欺メール』中国語で「密码到期通知」と、来た件

サーバー管理者から中国語で？！

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

メールアカウントのパスワードに期限がある？？

中国語で書かれたメールが到着。
件名の頭に”[spam]”とスパムスタンプが付けられているので明らかに迷惑メールの類なのが分かります。
そのメールがこちら。

何が書いてあるか、私達凡人にはさっぱりわかりませんよね？
と言う訳で、Google先生にお願いしてみることに。

まずは、件名を翻訳してみます。
上段が原文で下段が翻訳文です。
(文字化けしてしまう場合は、上のスクショでご確認ください)

[spam] ❶✉ ****@*****.*** 密码到期通知

[スパム] ❶✉ ****@*****.*** パスワード有効期限切れのお知らせ

そして次に本文。

嗨， ****@*****.***，

您的****@*****.***密码今天到期，请
按照以下步骤操作以保留当前密码并更新帐户。

保持当前密码

*****.*** 密码通知。

やあ、****@*****.***、

****@*****.*** のパスワードは今日で期限切れになります。
以下の手順に従って、現在のパスワードを保持し、アカウントを更新してください。

現在のパスワードを保持する

*****.***パスワードのお知らせです。

このメールは、私の業務用メールアドレスに届いたもの。
どうやら今日がそのメールアドレスのパスワード期限のようです。(笑)
リンクに従いアカウントを更新するように促していますね…
が、残念ながらうちの事務所のサーバー管理者は、何を隠そう私です…(笑)
うちのメールサーバーのアカウントに期限など無く、アカウントの追加差削除や制限は
全て私に権限があります！
ですから、このようなメール内容すべてウソです！

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は先に書いた通り、パスワード有効期限切れのを知らせるものです。

差出人は
「*****.*** <wtaylor@ms24.hinet.net>」
”*****.***”部分には、私のメールアドレスに使われているドメインが記載されています。
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
ところでこのメールアドレスに使われているドメイン”ms24.hinet.net”はどなたのものでしょうか？
そのあたりも含め、次の項で詳しく見ていくことにしましょうか。

使われたのはオランダのサーバー

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「wtaylor@ms24.hinet.net」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「20230110182445.3095AA30673145A5@ms24.hinet.net」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from vm896881.stark-industries.solutions (unknown [45.87.154.108])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、メールアドレスにあったドメイン”ms24.hinet.net”について調べてみます。

”168.95.4.24”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”45.87.154.108”ですから全く異なります。
子のけぅt化からどうやらこのメールアドレスは偽装されているようです。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”45.87.154.108”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、オランダの「メッペル (Meppel)」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

サイトは閉鎖しドメインまで放棄されていた

ッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「保持当前密码」って書かれたところに張られていて、リンク先の
URLよトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

URL内に”wp-admin”と書かれているので、どうやらリンク先はブログソフトのワードプレスで
書かれているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

即座にChromeが反応してアクセスをブロックしてきました。

安全でないサイトですが、心して先委に進んでみます。

どうやら、さにかを察知したのかすでにサイトは閉鎖されていました。

次にこのURLで使われているドメイン”envihotel.al”にまつわる情報を取得してみます。

あらら、ドメインまで放棄したようで完全に雲隠れしてし合ったようです。
これじゃこれ以上何も捜査することはできませんね。。。(;^_^A

まとめ

私のメールアドレスのドメインには”.jp”と入れられているので、差出人は私が日本で仕事を
していることを承知でこのメールを送ってきていると思いますが、詐欺師なんて数打ちゃ当たる
方式なのでそんなのお構いなしなんでしょうね。
でも翻訳しないと通じないようなメールじゃ、その国の人間しか騙せないでしょうね！

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)