『詐欺メール』「ご確認をお願いします。 」と、来た件

迷惑メール

次から次へと続々と
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

ダウンローダートロイの木馬がくっついてる

朝から、最近お付き合いの無いお客様の名前で、ウイルスの付いたメールが大量に届き始めた。
最初に届いたのは「Agent.DKF!tr.dldr」と言うウイルスがくっついたメール…(;^_^A

フッターにはこのように書かれています。

The file [FN-1116 report.xls] has been detected containing virus [MSExcel/Agent.DKF!tr.dldr], and has been removed.

頭悪いのでGoogle先生に翻訳をお願いしてみると。

ウイルス[MSExcel/Agent.DKF!tr.dldr]を含むファイル[FN-1116 report.xls]が検出され、削除されました。

どうやら添付されていた「FN-1116 report.xls」というエクセルのファイルに「MSExcel/Agent.DKF!tr.dldr」
と言うウイルスが含まれていたようです。
どうやらこのウイルスは「ダウンローダートロイの木馬」として分類されるそうで。
感染したシステムに悪意のあるソフトウェアをダウンロードし、実行することを目的とする不正な
プログラムだそうです。

サーバーに自動で隔離されたようなので一安心ですが、この後も同じ方から”.zip”や”html”などが添付された
メールが立て続けに届いています。

では、このメールもプロパティーから見ていきましょう。

件名は、ずいぶん以前に私が送ったメールの件名に対してのREが付けられています。

差出人の名前は、客先の担当者になっていますが、メールアドレスはそれぞれバラバラ。
でも、どれもこれも全部使われているドメインになっていますが、どうせそのウイルスに感染した
デバイスから持ち出したアドレス帳に付いていたアドレスなのでしょう。


サイトは南アフリカ「オレンジ自由国」付近

では、最初に届いたこのメールだけヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「a.rakotonirina@agenceroutiere.mg」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「35133c48-4aa0-4d7c-0da9-5aac57a8dbbb@agenceroutiere.mg」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from [127.0.0.1] (unknown [102.22.36.205])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

102.22.36.205”がこのドメインを割当てているIPアドレスで差出人が利用している
メールサーバーのもの。
このIPアドレスを元にそれから抽出できる情報を確認してみます。

どうやらこのIPアドレスには”bethnet.co.za”と言うドメインが割当てられているようです。
co.za”は、南アフリカ共和国に割当てられているドメインですね。

このIPアドレスの割り当て地を調べると、やっぱり南アフリカで「オレンジ自由国」付近のようです。

 

どのようなロジックでこのメールが送られてくるのかは、私には分かりませんが、もし私が丸腰だったら
簡単に感染してしまっているでしょうね。(;^_^A


まとめ

こうやってブログ書いている最中も同じ方から続々とメールが送られてきています。
どうやら添付ファイルの名称やウイルスの名称も異なるようなので、この方は不幸にも
複数のウイルスに感染してしまったようで、ご本人も今頃対応に追われていることでしょう。
やっぱりこうやって考えると、セキュリティーはWindowsだけに頼らずウイルスバスターや
ノートンなどの信頼のおけるソフトを導入しておきたいものですね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました