『詐欺メール』American Expressから『二段階認証の導入についてのお知らせ』と、来た件

★フィッシング詐欺解体新書★

今度はアメリカンエキスプレスを騙る

先回に引き続き『saison.txt』と言うテキストファイルが添付されたメールの解説となります。
先回はAmazonを騙ったものでしたがご興味があればこちらをご覧ください。

『詐欺メール』Amazonから『【重要なお知らせ】』と、来た件

不気味な添付ファイル付きメール第一弾 ※ご注意ください！ このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし 悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。 このようなメールを受け取っても絶対...

ymg.nagoya

これは今朝届いた添付ファイルの付いた4通の詐欺メールのうちのその1通。

今回のメールはそのうちの『アメリカンエキスプレス』を騙った詐欺メールのご紹介となります。

このメールにも『saison.txt』と言うテキストファイルが添付されています。
危険を承知で万全のセキュリティのもと開けてみるとこのように書かれています。

(クリックで拡大します)

またしてもHTML書かれたウェブページです。
見難いので拡張子を.txtから.htmlに変えてブラウザで開いてみます。

どうしてメールの本文に直接書かずこのようなめんどくさい添付ファイルにしているのかさっぱり
分かりません…(;^_^A

このメールも本文に何やら英文が書かれていますね。
『Deep news draw full.Detail speak and.Guess owner game available describe.』

これもまた翻訳してみます。
『深いニュースが満載です。詳細を話してください。オーナーを推測するゲームが説明されています。』
と全くメールには関係の無い全く意味不明な文章です。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 二段階認証の導入についてのお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『 “American Express” <4bd236400@e2adc699d.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

またしても意味不明な暗号のようなメールアドレスですね。
恐らくこれも実在しないメールアドレスかと思われますが、その辺りは次項で確認することにします。

やっぱり空きドメイン

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”e2adc699d.jp”が差出人本人のものなのかどうかを
調べてみます。
ってか、その前にこのドメインの存在に付いて『お名前ドットコム』さんで確認してみることに。
するとこのような結果が！

これによると、このドメインは現在空きドメインで誰にも使われていないものであることが判明！
空きドメインは当然メールなんて受送信できないので差出人はメールアドレスを偽っています。

”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

地図に立てられたピンの位置は、韓国の首都『ソウル』
そして送信に利用されたのは、『Shenzhen Tencent Computer Systems Company Limited』と言う
中国深センに拠点を置くプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

本物そっくりの詐欺サイト

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ご利用確認はこちら』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”zmkigr.xyz”
このドメインにまつわる情報を取得してみます。

これは1つ前にご紹介したAmazonを騙ったものと全く同じ『アルバニア』の人物が所持しているものと
分かりました。

このドメインを割当てているIPアドレスは”43.133.22.39”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

地図に立てられたピンの位置は『杉並区立和泉二丁目公園』付近。
利用されているホスティングサービスは、メールサーバーと同じ『Shenzhen Tencent Computer Systems Company Limited』
これらも1つ前にご紹介したAmazonを騙ったものと全く同じです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;