『詐欺メール』「お支払い方法の情報を更新」が立て続けに来た件

6秒差の妙

昨日の給付金エントリーへのオーディエンスの反応はニュースで取り上げられていたので
どうかなと思いましたが、さほどでは無ったようです。

さて、今朝は同じ件名の「お支払い方法の情報を更新」がメールが2通。
これは以前にもご紹介しています。
じゃなぜ取り上げるのか？
そう、ネタが無いからなんですね(笑)
それは嘘で、この2通のメール見ていただくと分かるように到着が同じ日の同じ時刻。

って訳で、この2通のメールを比較して色々と検証していきたいと思います。

人為的じゃなく機械的に発信か？！

プロパティー比較

まずは1通目のプロパティーと”Received”です。

差出人は「amazon <typaocl@fliogrs.net>」(差出人については後ろの項で)
送信日時は”10月19日17:21:02”
”Received”の発信日時は”Mon, 19 Oct 2020 18:20:07”

そしてもう一通のプロパティーと”Received”はこちら。

差出人は「amazon <ayxrrjngg@hwktild.net>」
送信日時は”10月19日17:21:02”
”Received”の発信日時は”Mon, 19 Oct 2020 18:20:13”

受信したメールソフトの送信日時は全く同着ですが、メールヘッダーに刻まれた
”Received”フィールドの方が正確。
これで見るとその差は6秒！

差出人のメールアドレスを見ると同じ差出人ではなさそうですね。
って、ここで見切っちゃいけませんよ！！
それぞれの”Received”に書かれてるIPアドレスを見てみると、まったく同じ！！
と言う事は、同じ場所からの送信。

よく考えてみると、現実的に6秒差でメールを人為的に送る事ってできるんでしょうか？
当然こんなメール私だけに送ってないと思うのでどこかで収集したメールアドレス宛に
機械的に発信しているものと容易に想像できますよね？！

IPアドレスから送信者を割り出し

せっかくだからこのIPアドレスについて調べてみます。

このIPアドレスは現在中国に割当てられているようですね。

このIPアドレスの持ち主は”ChinaUnicom Hostmaster”という通信会社です。

IPアドレスはプロバイダーなどから契約ユーザーに貸し出されるものなので
このIPアドレスの所在がそのユーザーの所在地。
その場所はここ”中国遼寧省瀋陽市”でした。
かなりピンスポットでしたので遠目にキャプチャーしてみました(笑)

悪事のサーバーは香港にあり！

どちらのメールも書いてある本文の内容は以下のもので全く同じ。

もちろんこのメールはご承知の通りフィッシング詐欺メールです。
本文にある黄色いボタンのリンク先はこれまた同じで以下のURLで始まるもの。

コヤツ、すぐにトンゾラできるようにIPアドレスをURLにしてる姑息な野郎です。

繋いでみたら現在も稼働中でしかもトレンドマイクロにも遮断されないので野放し状態。
例によって新鮮なうちにこのIPを調査してみることに。

割当てられた国は”香港”

このIPアドレスの持ち主は”Simcentric Network Administrator”という会社。

そしてこのIPアドレスの所在地はやはり香港でした。

このIPアドレスから始まるウェブサーバーはこのエントリを書いてる今現在も稼働中で
香港にあることが分かりました。
こんな所にアマゾンのサーバーがあるはずありません(笑)
このURLのリンク先は、アマゾンの偽ログインページに繋がりますので賢い皆さんは
絶対につながないでください。