『詐欺メール』Amazonから『【緊急連絡】アカウント確認手続きのお知らせとセキュリティ対策の強化について』と、来た件

★フィッシング詐欺解体新書★

中国語講座！(笑)

はい、今日は中国語のお勉強です！
これ、私の私用アドレスに届いていたAmazonからと称するメールです。
さぁご一緒に始めましょうか！

ってね。(笑)
これはAmazonを騙ったフィッシング詐欺メール。
のつもりなのでしょう…(笑)
余りにも中国語入りすぎて全然分からないので、分かりにくい部分だけ翻訳してみたのです。
コピペすると文字化け必須なので画像にしておきました。
これでなんとなくメールのイメージは付くと思いますが、どうやらクーポンの不正利用を私が行ったので
Amazonのアカウントを一時停止したので、リンクから一時停止を解除するように書いてあるようです。
中国語がちりばめているだけでなく『カsuタマーサポート』って…
どうしてこうなったんでしょうね？(笑)

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『【緊急連絡】アカウント確認手続きのお知らせとセキュリティ対策の強化について』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
ここはちゃんと日本語で書かれているんですね。(笑)

差出人は
『Amazon.co.jp <168d4ef8@yale.edu>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
Amazonなら@以降のドメイン部分は”amazon.co.jp”となるはずですが、このメールアドレスはそれと
全く異なるものなので、この差出人はAmazonの関係者ではありません！
それにしても”yale.edu”なんて覚えやすいドメインですね。
このような悪意のあるメールでこんな覚えやすいメールアドレスなんて使うはずないので、このアドレスも
偽装されているものと思われます。
その辺り、次の項で詳しく調査していくことにします。

偽装を見破れ！

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”yale.edu”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”yale.edu”を割当てているIPアドレスの情報です。
これによると”151.101.194.133”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”118.122.73.250”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”yale.edu”ではありません。
これでアドレスの偽装は確定です！

”Received”に記載されているIPアドレス”118.122.73.250”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

差出したのはやはり中国人のようで、地図に立てられたピンの位置は、中国の四川省雅安市。
そして送信に利用されたのは、中国に本拠を置く『CHINANET SiChuan Telecom Internet Data Center』と
言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは『ロシア国立歴史博物館』付近に設置

では引き続き本文。
いつもならここに本文をコピペするとことなのですが、今回は文字化け必須なのでそれができません。^^;
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『解除手続きへ』って書かれたところに付けられていて
リンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
このURLで使われているドメインは”coocli.com”

このドメインにまつわる情報を取得してみます。

中国広東省の方が取得したこのドメインを割当てているIPアドレスは”89.22.168.5”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

地図に立てられたピンの位置は、ロシアのモスクワにある『ロシア国立歴史博物館』付近。
そして利用されているホスティングサービスもロシアに拠点を置く『Mts Pjsc』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

Amazonを騙った詐欺サイトは往々にしてPC接続の場合、”localhost”に飛ばされることが多いのですが
今回はどうでしょうか？

やっぱりご分に漏れずリダイレクト(自動転送)されて”localhost”に接続されました。

どうしてもPCから接続されては都合が悪いようで、スマホやタブレットなどからだと詐欺サイトに接続
されるようです。
もっともそれ以前にセキュリティーによってブロックされてしまいますが。。。

まとめ

こんな中国語がちりばめられたメール、本当に騙す気のない輩なのでしょうね・・・

でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;