「Paidy(ペイディ)」を騙る オンラインショップ向けの後払い決済サービス、およびサービスを提供する「Paidy(ペイディ)」
を名乗るフィッシング詐欺メールが届きました。
 プレビュー (新しいタブで開く)
何の理由も無く、本人確認を促してきていますね。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【paidy】本人確認手続専用のURLをご連絡いたします。」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「paidy」
普通ならここにメールアドレスが記載されているのですが、今回はこれだけしか書いてありません。
IPアドレスの持つ脅威レベルは「高」 では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「paidy@gycztdo.cn」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
差出人のメールアドレスがありませんでしたが、ここでは中国のドメインが使われた
メールアドレスが記載されています。 | | Message-ID:「202208260929.27Q9T0iY010440-27Q9T0iZ010440@fmail02.kagoya.net」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
今度は”kagoya.net”なんてカゴヤジャパンさんのドメインが記載されています。
でも、ここも偽装可能な部分なので鵜呑みにはできません。 | | Received:「from gycztdo.cn (unknown [117.50.187.58])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”117.50.187.58”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、フィッシング詐欺メールの一大生産地の北京にある「天安門広場東側」付近です。
よく見ると、このIPアドレスの持つ脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」
攻撃対象は「メール」とされていますから、悪意のある物として周知されているようです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
「お願いたします」って「い」抜けてない? では引き続き本文。 本人確認手続専用のURLをご連絡いたします。
引き続き下記URLより必要事項の入力をお願いたします。
▽お手続きはこちら
h**ps://imkvhyyu.cn?/news/article/3rCjTCm5cmXSiXXFpcvWao
(直リンク防止のため一部文字を変更しています)
※メールを受け取ったお客さま専用のページです。ほかのお客さまはご利用いただけません。
期限内にお申し込みが完了しなかった場合は、再度メールアドレスのご登録をお願いたします。
——————————————————
本メールがご自身宛でない場合、他の方が誤って同じメールアドレスを登録したものと考えられます。
お心当たりのない方は、お手数ですがメール本文を削除くださいますようお願いたします。
—————————————————— ▼本メールについて
※このメールは返信しても届きません。お問い合わせはアプリを起動して「お問い合わせ」からお願いいたします ▼送信者に関する情報
株式会社Paidy
〒107-6212
東京都港区赤坂9-7-1 ミッドタウン・タワー12階(Google Mapへ) | 「お願いたします」の3箇所が、どれも「い」が1つ抜けています。
なのに不思議なことに「▼本メールについて」のくだりでは「お願いいたします」とちゃんと書けています。
そして、末尾の住所の後にある「Google Mapへ」にはリンクは付けられておりません。
じゃ、消しとけって話ですよね?(笑) このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、リンク先のURLがこちらです。
やっぱり中国のドメインが使われていますね。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、”imkvhyyu.cn”
このドメインにまつわる情報を取得してみます。
申請者は、私には読めない文字を含む漢字2文字の方なのでやはり中国の方でしょうか? このドメインを割当てているIPアドレスは”104.21.14.151”
このIPアドレスを元にその割り当て地を確認してみます。
ピンが立てられのは、カナダのトロントにある「トロント市庁舎」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 すると、開いたページには「404 Not Found」と記載されています。
これは、すでに存在しないことを意味するHTTPステータスコード。
どうやらこのページは既に削除されたか、接続できない状態にされてます。 詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。
まとめ トレンドマイクロの「サイトセーフティーセンター」では、危険なサイトとして登録されているので
今は接続できませんが、要注意です。
いつまた復活させて悪事をはたくか分かりませんよ! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 