サイトアイコン HEARTLAND

『詐欺メール』Gustavoから「Donation.」と、来た件

英文のスパム
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

ゲスタボってダレ??

何やら英文の迷惑メールが届きましたよ。

短い本文ながら何が書いてあるんでしょうね?
私、英語はからっきしなのでさっぱり分かりません。(^^;)

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] Donation.」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

単に「Donation」と書かれていますが、訳してみると「寄付」だそうです。

差出人は
「”Gustavo” <gustavofp@icloud.com>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

「Gustavo」…ゲスタボ?で良いのでしょうか?(笑)

使われているドメインは”icloud.com
なんとなく怪しい気がするのは私だけでしょうか?


何故返信先がGmeilなの?

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「gustavofp@icloud.com」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「20220709034313.4EFCB8DF4DE5033B@icloud.com」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from icloud.com (business-188-111-108-249.static.arcor-ip.net [188.111.108.249])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

Reply-To: slarsonbky@gmail.com

Reply-To”は、返信先。
あれ?ドメインが”gmail.com”になっています。
怪しさMAX(笑)

 

まずは、”icloud.com”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか?

17.253.144.10”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”188.111.108.249”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね!

この中で一番重要なのは”Received
これを紐解けば差出人の素性が見えてきます。
Received”のIPアドレス”188.111.108.249”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその情報を取得してみます。

どうやらこのIPアドレスには”static.arcor-ip.net”と言うドメインが割りあてられているようです。
そしてこのドメインの申請は「Registrant Country: DE」と記載があるので、ドイツから申請されています。

次にこのIPアドレスの割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、ドイツの「ズルツバッハ」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
そしてよく見ると、このIPアドレスは既にブラックリストに登録されていて、脅威レベルは「高」と
されています。
その種類は、Webとメールによるサイバーアタックのようです。
やはり悪意のあるメールだったのですね!


見ず知らずの外国人に寄付をしろと?!

では引き続き本文。

Good day and God’s blessings to you.

My name is Gustavo, a dying cancer patient living in Brazil. I am
making this solemn contact to seek your consent to donate my
multi-million US Dollar fortune to you so that you can help
channel it towards some charitable courses. Please reply for
further briefing if willing and capable of the task ahead. Do
note that you would be rewarded handsomely for your effort and
assistance.

Thanks and God bless.

Gustavo.

Google先生にお願いして翻訳してみました。

良い一日とあなたへの神の祝福。

私の名前は、ブラジルに住む死にゆく癌患者のグスタボです。
私はこの厳粛な連絡を取り、私を寄付することへのあなたの同意を求めます
あなたが助けることができるようにあなたに数百万米ドルの財産
いくつかの慈善コースに向けてそれを向けてください。
返信してください
先のタスクに意欲的で能力がある場合は、さらに説明します。
行う
あなたはあなたの努力と
援助。

感謝と神のご加護を。

グスタボ。

まあなんだかよくわかりませんが、病気の私に寄付をしろと言うことでしょうか?
何故見ず知らずの外国人に一般人の私が寄付なんてするわけないのに….


まとめ

このメールにはリンク先が無いので調査はこれで終わり。
送信者がicloudのドメインなのに返信先がGmailじゃ怪しすぎ。
それに、本当のドメインは”static.arcor-ip.net”なんて全然別物。
これじゃ寄付なんてするわけがありませんね!(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了