サイトアイコン HEARTLAND

『詐欺メール』「【重要】えきねっと会員情報変更および退会に関するお知らせメ-ル番号:609500」と、来た件

heart

相変わらず「えきねっと」騙り多し
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

違和感しかない

AmazonやETC利用照会サービスと並んでコンスタントに送られてくる詐欺メールと言えば
この「えきねっと」を騙ったもの。
今朝もこのような逝かれたメールが届いておりますのでご紹介させていただきます。

冒頭から「尊敬する」や「こんにちは」なんて違和感アリアリの書き出し…笑っちゃいますね(笑)
いつもの自動更新のくだりではなくバージョンアップに関する内容のようですが、リンク先で何をするのか
明確には書かれていません。
それにリンク部分の文字列はなぜだかこのようにハッシュタグが付けられたようになっています。
「状態:#123456789#アカウン#abcdefghijk#ト更#89djs739cnmua#新待#oqwxn755cj890d#ちです」
ハッシュタグなのかそれともワードサラダのつもりなのか知りませんが、それらをどけてみると
「状態:アカウント更新待ちです」と書いてあるようです。(;^_^A

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は「[spam] 【重要】えきねっと会員情報変更および退会に関するお知らせメ-ル番号:609500」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
よく見ると「メル」の””部分は、なぜだか全角の”ー”ではなく半角に変換されていますね。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”えきねっと” <admin@shijiht.com>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

今までに何度もこのサイトでご説明していますが、「えきねっと」さんの正規ドメインは”eki-net.com
ユーザーに対して送信するメールに自社以外のドメインを使ったメールアドレスを使用することは
ビジネスマナーに反するある意味信用を無にする行為です。
この時点でこのメールは詐欺メール確定です!

IPアドレスの割り当て地は?

詐欺メールは確定していますが、気になるのでヘッダーソース”Received”を確認してみます。

Received:「from mail2.shijiht.com (unknown [198.46.245.87])」

ヘッダーソースで一番重要なのは”Received
これを紐解けば差出人の素性が見えてきます。
Received”のIPアドレス”198.46.245.87”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその通信情報と割り当て地を確認してみます。

メールの送信に利用されたプロバイダーは、アメリカの「ColoCrossing」

割り当て地の地図ですが、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、ロサンゼルスにある「カリフォルニア州交通局」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは無防備な状態で放置

では引き続き本文。

えきねっとアカウントの自動退会処理について
尊敬する「えきねっと」ユーザー、こんにちは。
(カスタマーセンターから)より優れたサービスを提供するために。
「えきねっと」2023年5月16日に新バージョンの更新を行い、旧バージョンのアカウントは2023年5月21日に利用を停止します。
ご使用に差し支えないように、下のボタンをクリックして、手順に従ってください。

状態:#123456789#アカウン#abcdefghijk#ト更#89djs739cnmua#新待#oqwxn755cj890d#ちです

「尊敬する~」なんて如何にも翻訳された文章って感じですよね(笑)
赤字で示した部分が詐欺サイトへのリンク。
そのリンク先のURLはこちら

トレンドマイクロやNorton、GoogleなどでこのURLの危険性を調べてみましたが、どこも未評価で
危険性は確認されていませんでした。

危険を承知でつないでみると、案の定どこからもブロックされることなく無防備に放置されていました。

一応、私からトレンドマイクロの「サイトセーフティーセンター」に評価の変更依頼を申請しておきました。

アジト発見か?!

このURLで使われているドメインは、サブドメインを含め”zxsvx.huiteng9999.com
このドメインにまつわる情報を取得してみます。

申請者の国は「Registrant Country: NL」と書かれている通り「オランダ」の方。

そしてこのドメインを割当てているIPアドレスは”23.247.42.142
このIPアドレスもその通信情報を割り当て地を確認してみます。

今度のプロバイダーは「LayerHost」
こちらもアメリカのホスティングサービス企業

で、割り当て地はメールアドレスで調査したサイト全く同じ「カリフォルニア州交通局」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているので、この辺りに
詐欺グループのアジトがあるのかもしれませんね。

まとめ

珍しく今回は中国の影が見られず、絡んだエリアはロサンゼルスでしたね。
まあどちらにしても詐欺に遭わないように注意することには変わり有りません。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了