表示方法を切換えてみると…Amazonを騙る詐欺メールは、毎日もの凄い量が届きます。
今までにも様々なメールをうちのサイトでもご紹介してきましたね。
でも、同じものが多く何度もご紹介するわけにもいかないので最近はそのままゴミ箱に移動しています。
そんな中、今回はありそうで今までになかった件名でちょっと特徴的なものでしたのでご紹介して
みることにしました。
それがこのメールです。
 第三者不正利用をネタにした何の変哲もないよくありがちな詐欺メールですよね。
でもこのメールには面白いものが隠されていますよ。 これは、このメールの表示方法をHTMLからテキストに切換えて表示させたものです。
 もちろん違いは分かりますよね?
アンダーライン部分には、HTMLでは見られなかった意味不明な文字が、あぶり出しのように
浮かび上がってきました!
これはうちのサイトでも何度か取り上げたことのある「ワードサラダ」と呼ばれるものです。
詳しくはこちらのエントリーでご紹介しています。 『詐欺メールに付き物』「ワードサラダ」とは?
簡単に言えば、サーバーのスパムメール遮断機能を突破させるために、意味不明な文字や記号を
潜ませる手法です。
普通の方ならわざわざ表示方法なんて切換えたりしないと思いますが、私はちょっと特殊な人種なので
気になったメールはこのように切換えて確認したりしています。(笑) 前置きはその辺りにしておいて、では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 平素は Amazon.co.jpをご利用いただき、誠にありがとうございます」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「amazon <admin@amaon-unmst.tk>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 「Amazon」さんには、ご承知の通り”amazon.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
因みに”.tk”は、ニュージーランド領トケラウに割当てられた国別ドメインで、「Freenom」から
無料で取得できます。
偽装せずに自身のメアドを利用では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「admin@amaon-unmst.tk」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「006322f95c53$5fd7dd34$cdc0db17$@pxaovebc」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from mail.amaon-unmst.tk (mail.amaon-unmst.tk [116.204.77.132])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、メールアドレスにあったドメイン”amaon-unmst.tk”について調べてみます。
 ”116.204.77.132”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスも”116.204.77.132”ですから全く同じ。
この差出人は、メールアドレスを偽装することなく自身のアドレスからこのメールを送ってきたことに
なります。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”116.204.77.132”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
 IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、フィッシング詐欺メールの一大生産地の北京にある「天安門広場東側」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
ドメインの持ち主は恐らく中国の方では引き続き本文。 amazon利用いただきありがとうございます。
ご利用の アカウントで異常なアクセスが検出されたため、アカウントを一時保留にし、保留中の ご注文やサブスクリプションを一時停止いたしました。アカウントへのアクセスを再開するには、サインインして画面の指示に従ってください。必要な情報をご提供いただいたら、当サイトで調査の上、24 時間以内に返信いたします。支払方法を更新する————————————————————————————————————————– ※ 24時間経過してもこのメッセージに返信しない場合、アカウントのステータスは1週間後に放棄され、完全に削除されるように設定されます。お客様のアカウントのセキュリティを強化するため、2段階認証を有効にすることをお勧めします。
またのご利用をお待ちしております。
AmazonこのEメールアドレスは配信専用です。このメッセージに返信しないようお願いいたします。 |
最近の詐欺メールによくある不正利用をネタにした内容です。
このメールは、フィッシング詐欺メールなので詐欺黄色いボタンのところに張られていて、そのリンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での評価がこちらです。
 おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”account.luolitou.com”
このドメインにまつわる情報を取得してみます。
 申請者の国も地域も空白で誰が申請したのか全く分かりません。
でも、レジストラは中国のIT企業アリババのようですから、おそらくは中国の方でしょうね。 このドメインを割当てているIPアドレスは”47.91.23.80”
このIPアドレスを元にその割り当て地を確認してみます。
 こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、明治大学に程近い杉並区和泉付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 当たり前のように開いたのは、Amazonへのログインページ。
 これらの調査で嫌というほど見てきたページですね…(汗)
もちろん偽サイトですから絶対にログインしないでください!
まとめ見事な「ワードサラダ」でしたね。
でも件名に”[spam]”とスタンプされているので、うちのサーバーは騙せなかったようですね! でも、恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
