『詐欺メール』『АЕОN力一ドの異常なリスクをチェックしています。』と、来た件

迷惑メール
この記事は約11分で読めます。

『ここ掘れワンワン』さんから
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

空白部に不審な英文が!

いつもご覧いただきありがとうございます!

イオンカードを騙った詐欺メール、皆さんの所にも大量に届いていることと思います。
最近はAmazonの詐欺メールを追い越して量の多さでは第一位。
そんなイオンカードの詐欺メールですが、今日もご多分に漏れずこのような最近ありがちな
架空の不正利用通知です。
そのメールがこちら。

どうやら何者かが私のイオンカードの情報を使って4月6日に丸井で Apple Watch を312,200円で
購入したようです。
もし私の意図しないものであればリンクからこの取引をキャンセルすることができると書かれています。
もちろん私はそんな記憶は全くございません。
もっと言えば私、イオンカードなんて持っていないので使われたくても使われようが無いのです。(笑)

ってなわけでこのメールは不正利用をネタにした詐欺メールなのですが、下の方が無意味に空白なので
カーソルを持って行って選択状態にしてみるとアラびっくり!
なんと薄い色の文字で英文がびっしりと書かれているではありませんか。
なんて書かれているのか気になったので翻訳してもらいました。

Currently, I am a Senior Staff Security Engineer at Google. As the tech lead for cryptography in our Trusted Infrastructure Services group at Google Cloud, I work on things like identifying strategic security choices we can make to improve systems at scale, proposing new engineering designs for new or existing
products, designing or optimizing secure implementations of cryptography on planet-scale distributed systems, driving technical consensus on critical engineering decisions, mentoring the tech leads of specific subfields, or serving as the technical expert on security and cryptography within my team, so that the other amazing engineers that I work with can seek out my advice to help strengthen their own work.
I think that one of the biggest challenges women face in this industry is sometimes not being as respected or taken as seriously as our male peers, and not being truly seen for who we are and what we have achieved. Internally, overcoming it means remembering that if when I meet someone new, they initially assume that I am nontechnical or junior in my field
現在、私は Google でシニア スタッフ セキュリティ エンジニアを務めています。 Google Cloud の信頼できるインフラストラクチャ サービス グループの暗号技術リーダーとして、私は大規模なシステムを改善するために実行できる戦略的なセキュリティの選択を特定し、新規または既存のシステムに新しいエンジニアリング設計を提案するなどのことに取り組んでいます。
製品、地球規模の分散システム上で暗号化の安全な実装を設計または最適化すること、重要なエンジニアリング上の決定に関する技術的合意を推進すること、特定のサブ分野の技術リーダーを指導すること、またはチーム内でセキュリティと暗号化の技術専門家として機能することにより、他のチームが私と一緒に働いている素晴らしいエンジニアは、自分の仕事を強化するために私のアドバイスを求めることができます。
この業界で女性が直面する最大の課題の 1 つは、男性同業者ほど尊敬されなかったり、真剣に受け止められなかったり、私たちが誰であり、何を達成したかが真に理解されていないことだと思います。内面的には、この問題を克服するということは、もし私が新しい人に出会ったとき、彼らは私が最初は私のことを専門分野ではない、または自分の分野では後進であると考えるだろうということを思い出すことを意味します。

イオンカードには全く関係の無い難しい事柄が書かれていますね。
いったい何が言いたいのでしょうね?(;^_^A

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。

件名は『[spam] АЕОN力一ドの異常なリスクをチェックしています。』
なぜだか『N』を除く赤文字で現した『AEO』だけアルファベットが全角文字で書かれています。
これは何かのおまじないでしょうか?
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”АЕОN-CАRD” <eileen-alick-kokohore113@tododescargas.com>』
これもアルファベットが半角と全角で混在していますね。(;^_^A
それに『kokohore113』って『ここ掘れワンワンさん』ですよね、これ、馬鹿にしてません?

ここで使われている@以降のドメイン”tododescargas.com”は、イオンカードのものではないので
差出人も当然イオンカード関係者ではありません!
更にこのドメインさえも偽装されているとかいないとか…
その辺りは次項でじっくり!(^^)!


差出したのは『ファーウェイ』ユーザーか?!

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from qiyiwu8.cn (ecs-1-94-58-165.compute.hwclouds-dns.com [1.94.58.165])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”tododescargas.com”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”tododescargas.com”を割当てているIPアドレスの情報です。
これによると”15.197.142.173”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”1.94.58.165”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”tododescargas.com”ではありません。
これでアドレスの偽装は確定です!

Received”に記載されているIPアドレス”1.94.58.165”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、中国北京にある『天安門広場』東側付近。
そして送信に利用されたプロバイダーも北京に拠点を置く『Dxtnet』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。

ここに書かれている”hwclouds-dns.com”は、中国の『ファーウェイ』が運営する『HUAWEI CLOUDS』
が利用しているドメイン。
恐らくこの差出人は、足が付きにくいように『HUAWEI CLOUDS』のWebメーラーを使ってこのメールを
送信したものと思われます。


見飽きたイオンカードの偽サイト

では引き続き本文。

いつもご利用いただきありがとうございます。
お支払いプロファイルで不審な取引が確認された。

詳細内容
店舗名 :丸井(まるい)
商品名 :AppleCare+ for Apple Watch Series 7
商品価格 :𝟯𝟭𝟮,𝟮𝟬𝟬円
日付 :2024/04/06 10:51:06

本人確認ができなかった場合は、すぐにメールでご連絡いたします。
確認作業が終わり次第、安全な決済が行われたというアラートが取引詳細と共に出品者に送信されてきます。

必要な操作 :画面上の確認方法の手順に沿って操作します。
この取引をキャンセルする

もし本件がご自身の消費行動であれば、この通知を無視していただいて構いません。そうでない場合は、お知らせください。
注意:23時間以内に返答しない場合、自動で取引成立となります。
皆さまに安心安全にご利用いただくため、何とぞご理解とご協力のほどよろしくお願いいたします。

※本文をそのままコピペしているので文字化け等はご容赦ください。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『この取引をキャンセルする』って書かれたところに付けられていて、
そのリンク先は、コンピュータセキュリティブランドのトレンドマイクロの
サイトセーフティーセンター』での危険度はこのように評価されていました。

なんという長ったらしいURLなのでしょうか…(;^_^A
まだ新しいのか評価の対象にされていないようです。
早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは”aeonn.zurqh.cn”と中国のもの。
このドメインにまつわる情報を取得してみます。

取得申請者は初めて見るお名前ですが、中国の方でしょうね。

このドメインを割当てているIPアドレスは”43.133.22.53
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

またここっすか?!
いったい『杉並区立和泉二丁目公園』付近にどれ程詐欺サイトを運営するサーバーが存在するのでしょうか?
利用されているホスティングサービスは『Shenzhen Tencent Computer Systems Company Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

案の定あっさりと開いてしまったのは、詐欺サイトの調査で見飽きてしまったイオンカードの偽ページ。

ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。


まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました