『詐欺メール』「平素は Amazon.co.jpをご利用いただき、誠にありがとうございます」と、来た件

★フィッシング詐欺解体新書★

表示方法を切換えてみると…

Amazonを騙る詐欺メールは、毎日もの凄い量が届きます。
今までにも様々なメールをうちのサイトでもご紹介してきましたね。
でも、同じものが多く何度もご紹介するわけにもいかないので最近はそのままゴミ箱に移動しています。
そんな中、今回はありそうで今までになかった件名でちょっと特徴的なものでしたのでご紹介して
みることにしました。
それがこのメールです。

第三者不正利用をネタにした何の変哲もないよくありがちな詐欺メールですよね。
でもこのメールには面白いものが隠されていますよ。

これは、このメールの表示方法をHTMLからテキストに切換えて表示させたものです。

もちろん違いは分かりますよね？
アンダーライン部分には、HTMLでは見られなかった意味不明な文字が、あぶり出しのように
浮かび上がってきました！
これはうちのサイトでも何度か取り上げたことのある「ワードサラダ」と呼ばれるものです。
詳しくはこちらのエントリーでご紹介しています。

『詐欺メールに付き物』「ワードサラダ」とは？

ワードサラダは悪意のある証拠 ワードサラダは、フィッシング詐欺メールでよく使われる手法です。 上のメールを見てください。 これはメールの本文をHTML形式からTEXT形式に表示を切り替えたもの。 イエローでマーキング文字列は、HTML形式の...

ymg.nagoya

簡単に言えば、サーバーのスパムメール遮断機能を突破させるために、意味不明な文字や記号を
潜ませる手法です。
普通の方ならわざわざ表示方法なんて切換えたりしないと思いますが、私はちょっと特殊な人種なので
気になったメールはこのように切換えて確認したりしています。(笑)

前置きはその辺りにしておいて、では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 平素は Amazon.co.jpをご利用いただき、誠にありがとうございます」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「amazon <admin@amaon-unmst.tk>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

「Amazon」さんには、ご承知の通り”amazon.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
因みに”.tk”は、ニュージーランド領トケラウに割当てられた国別ドメインで、「Freenom」から
無料で取得できます。

偽装せずに自身のメアドを利用

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

では、メールアドレスにあったドメイン”amaon-unmst.tk”について調べてみます。

”116.204.77.132”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスも”116.204.77.132”ですから全く同じ。
この差出人は、メールアドレスを偽装することなく自身のアドレスからこのメールを送ってきたことに
なります。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”116.204.77.132”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、フィッシング詐欺メールの一大生産地の北京にある「天安門広場東側」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

ドメインの持ち主は恐らく中国の方

では引き続き本文。

最近の詐欺メールによくある不正利用をネタにした内容です。
このメールは、フィッシング詐欺メールなので詐欺黄色いボタンのところに張られていて、そのリンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での評価がこちらです。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”account.luolitou.com”
このドメインにまつわる情報を取得してみます。

申請者の国も地域も空白で誰が申請したのか全く分かりません。
でも、レジストラは中国のIT企業アリババのようですから、おそらくは中国の方でしょうね。

このドメインを割当てているIPアドレスは”47.91.23.80”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、明治大学に程近い杉並区和泉付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

当たり前のように開いたのは、Amazonへのログインページ。

これらの調査で嫌というほど見てきたページですね…(汗)
もちろん偽サイトですから絶対にログインしないでください！

まとめ

見事な「ワードサラダ」でしたね。
でも件名に”[spam]”とスタンプされているので、うちのサーバーは騙せなかったようですね！

でも、恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;