騙されてくださいとお願いされても騙せない
まず最初に。
件名も本文も中国のフォントが使われているので文字化け必須ですのでご容赦ください。(^^;)
なんか最近低レベルの詐欺メールが多くなったような気がするのは私だけでしょうか?
今回ご紹介するのもこのようなメールになります。
ま、騙されてくださいとお願いされても誰一人騙されないでしょうね…(;^_^A
冒頭が「すゾンカード」なんて書いてあるし、それにだいたいスラスラと読むことができませんよね(笑)
おかしな気持ちの悪いフォントは「Microsoft JhengHei」って中国語のゴシック体フォント。
ま、いちいち説明することもありませんが、このメールを差し出したのは恐らく中国人の詐欺グループ。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は「[spam] お支払い方夤更のご案内【セゾンカード】」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
文字化けしているかも知れませんが「夤」って読めます??
「お支払方法変更のご案内」なのでしょうか?
それだと文字数足りませんが…
せめて読める件名にしてほしいです(-_-;)
そしてこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「【イオン銀行】 <jao@pyi.net>」
もうめちゃくちゃです。
「セゾンカード」なのか、それとも「イオン銀行」なのか…
それにどちらにも関連性の無い”pyi.net”なんてドメインのメールアドレス…
勘弁してください…トホホ
使いえないドメイン
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「jao@pyi.net」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「20230515115730204644@pyi.net」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from pyi.net (unknown [175.150.104.77])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
どうしてもこの差出人のメールドメインは”pyi.net”だと言い張るようです。
では、そのドメイン”pyi.net”について調べてみます。
「対応するIPアドレスがありません」と書かれています。
これはこのURLは現在IPアドレスに割当てられていないことを示しており、ネット上では利用することが
できないもの。
これでアドレス偽装は確定。
やっぱりウソのメールアドレスだったんですね!
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”175.150.104.77”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその危険性と割り当て地を確認してみます。
まずは危険性。
既に脅威レベルは「高」と判定されていますね。
そしてその種類は、メールによるサイバーアタックと説明されています。
次に割り当て地。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、中 遼寧省 瀋陽市 瀋河区付近とされています。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
結局イオンカードかよ
では引き続き本文。
【すゾンカード】利用いただき、ありガとうございます。
このたび、ご本人様のご利用かどうかを确认させテいただきたいお取引ガありましたので、诚り胜手ナガラ、カードのご利用を一体制限させテいただき、ご连络させテいただきました。つきましテは、以下へアクズスの上、カードのご利用确认りご协力をお愿い致します。お客様りちます迷惑、ご心配をお挂けし、诚ニ申し訳ございませ
ん
。
ご回答をいただけない场合、カードのご利用制限制ガ継続されることもございますので、赠めご承了下さい。
■ご利用确认はこちら
ご不便とご心配をおかけしました诚い申し訳ございませんガ、何とぞご理解赐りたくお愿い申しあげます。
──────────────────────────── ──────── ■発行者■
株式会社クレドイゾン
〒170-6073 东京都豊岛区东池袋3-1-1 飒飒イン60・52F
マールコード CA6052
──────────────────────────────────
版权所有© CREDIT SAISON CO., LTD. 版权所有。
无断転载および再配布を禁じます。
F |
(そのままコピペしたので文字化けしてたらすいません)
読めない漢字があったり、不意にカタカナだったり、絶対に本気で騙そうなんてしていないですよね?
このメールは詐欺メールなので本文内に詐欺サイトへのリンクが設けられています。
そのリンクは複数付箇所に設けられており、そのリンク先のURLと
トレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。
えっ、何ですと!(;’∀’)
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。
このURLで使われているドメインは、サブドメインを含め”suzybloomy.com”
このドメインにまつわる情報を取得してみます。
このドメインを割当てているIPアドレスは”154.211.12.67”
このIPアドレスを元にその危険性と割り当て地を確認してみます。
危険性を表す脅威レベルは、またしても「高」で今度はSSHが攻撃対象とされています。
そして割り当て地。
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、香港付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
トレンドマイクロの「サイトセーフティーセンター」での危険度評価からすると、リンク先の詐欺サイトは
どこからもブロックされることなく無防備に放置されているとおもわれます。
そんな詐欺サイトへ安全な方法で訪れてみました。
はぁ? AEON CARDって…(;’∀’)
もう私、本当にどうしたら良いのかわかりません…
まとめ
絶対に騙そうとしていない愉快犯の仕業!
もうマジでこんなバカなメール多すぎです!!
でも巧妙な詐欺メールもまだまだ少なくありません。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |