『詐欺メール』『IMPORTANT: Update!』と、来た件

誰が何のために

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウントやクレジットカードの情報を
入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合はブックマークしてある
リンクを使うかスマホアプリをお使いになってログインするよう心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早くパスワードの変更や
クレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

既にサービス停止期間中なのに

最近おかしなメールが多いです。(^^;)
うちの事務所のスタッフ宛にこのようなメールが届きました。

まず、このメールの送信者として書かれているのはうちの事務所のドメインに”team@”追加したもの。
すなわちうちの事務所の”team”アカウントです。
もちろんそんなアカウントは存在しません！
このメールにはシステムメンテナンスのためにサービスを一時的に停止する旨が記載されています。
でもどんなサービスが停止されるのか件名にも本文にも一切書かれておりません。
が、リンクのURLに”webmail”との記載があるので恐らくメールサービスであることが分かります。
更にはその開始日時が今日2023年11月6日の午前5時31分。
でもこのメールを発信したのは2023年11月6日午後1時31分って、もうサービス停止してるじゃん。
サービス停止しているはずの時間帯にどうしてメールを受信できたんでしょうね？(笑)
こんなアホらしいメール誰が信じるでしょうか？(;^_^A

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] IMPORTANT: Update!』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

『IMPORTANT』とは『重要』の意味ですが、英語で書けば焦るとでも思っているのでしょうか？
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

フランスのサーバーより

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from *****.*** (145-12-127-151.isp.overthebox.ovh [151.127.12.145])』

”*****.***”部分にもうちの事務所のドメインが記載されています。
でもその割には”isp.overthebox.ovh”なんて意味不明なドメインまで記載されています。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『OVH xDSL』と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、フランスの『ルーベ』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンクに接続できず

では引き続き本文。

大切なお客様へ

ご不便をおかけいたしますが、定期的なシステムメンテナンスのため、6/11/2023 05:31:55から一部サービスを一時的にご利用いただけません。

このメンテナンス期間中、弊社の進捗状況を把握し、必要な情報をリアルタイムで取得するには、以下のリンクを訪れてください：

h**ps://auth.sso.webmail.ne.jp/mail/

お客様の全体的なユーザーエクスペリエンスを向上させるため、ご理解とお待たせしている間に感謝申し上げます。

*****.*** をお選びいただき、誠にありがとうございます。

直リンクを避けるためURLの文字を一部変更してあります。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていていますが、これは偽装。
本当のリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”pub-d9089aea87a042be8aa6e9b98610c3de.r2.dev”
このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは”104.18.3.35”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは『Cloudflare』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのはカナダの『トロント市庁舎』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

『このサイトは安全に接続できません』と書かれたまっ白いページが開きました。
説明には『クライアントとサーバーで、共通の SSL プロトコルバージョンまたは暗号スイートがサポートされていません』
と書いてありますのでどうやらサイトのSSLバージョンが古いようです。
ま、何はともあれ接続できないようなので一安心です。