『詐欺メール』『[spam] [au.com]いつもご利用ありがとうございます』と、来た件

迷惑メール

『au』に成り済ますメール
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

国語のお勉強をされていないような…

不思議なフィッシング詐欺メールが届きました。
これは恐らく『au』を騙っているんですよね?

どうして『au.com』を名乗っているのか知りませんが、普通に『au』で良かったのではないでしょうか?
『au.com』は単にKDDIと沖縄セルラーが2018年4月以降に提供しているメールドメインです。

まあそれは良いとしてもどうして『au.com』を名乗っているのに差出人のメールアドレスのドメインが
au.com”ではなく”tlqcc.org”なのでしょうか?
これじゃ『私はauの偽物ですよ』と言っているようなものです!

本文に目を移すと、これまた不思議な文章でなかほどまで読み進めると、国語の勉強をされていないような
おかしな文章の切れ方をしている部分が存在します。
それは『※有効期限が切れると保有ポイントは無効となり、ご利用できなくなりますので、』と言う箇所で
文章はここで一旦途切れ次の締めのくだりに続いてしまっています。(;^_^A

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『[spam] [au.com]いつもご利用ありがとうございます』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”au” <umkuesq@tlqcc.org>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。


空きドメインじゃメール送れないでしょ?

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from tlqcc.org (unknown [106.114.142.208])』

ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”tlqcc.org”が差出人本人のものなのかどうかを
調べてみます。

まずドメイン”tlqcc.org”の登録情報を取得してみます。

『対応するIPアドレスがありません』と出ました。
『Domain not found』と書いてありますが、このドメイン存在するのでしょうか?
それを証明するために空きドメインかどうかを『お名前.com』さんで調べてみると…

やっぱり!
この”tlqcc.org”は空きドメインなので、現在ネット上で使うことはできません。
と言う訳でこの差出人のメールアドレスのドメインは”tlqcc.org”ではありません。
これでアドレスの偽装は確定です!

Received”のIPアドレスと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうです。

Received”に記載されているIPアドレス”106.114.142.208”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

表示された地図にペンが立てられたのは、中国河北省石家荘市にある田舎町『Zhoutou』です。
そして送信に利用されたのは、中国最大のネットワークを誇る『Chinanet』と言うプロバイダーです。
このメールは、この付近に設置されたChinanetのメールサーバーを介して私に届けられたようです。


リンク先はURL短縮ツールが利用されていた

では引き続き本文。

[au.com]いつもご利用ありがとうございます。 現在の保有ポイントはまもなく有効期限が切れます。 ※有効期限が切れると保有ポイントは無効となり、ご利用できなくなりますので、本メールはポイントを保有されているすべての会員様に配信しております。URL: h**ps://bit.ly/3GwEGNm

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、そのリンク先のURLとトレンドマイクロの
サイトセーフティーセンター』での危険度評価がこちらです。

あれれ?安全ってことないでしょうに…
でもカテゴリがファイル共有やクラウドなんて書いてありますね。
実はここで使われているこの”bit.ly”と言うドメインはアメリカのBitly社が提供する無料のURL短縮ツールで
作られた仮想のドメイン。
そのために危険かどうかの判断が難しくこのような評価になっているものと思われます。
逆に言えば、このドメインを使っているURLは危険性が高いということです。

試しにこのサイトに足を運んでみると、このようなページが開きました。

英語で難しそうなので翻訳してもらいました。

どうやらBitlyの方で有害サイトとして把握しているようで、既に接続されないようにブロックが施されて
いるということのようです。


まとめ

もうこれなら安心ですね!
でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました