メールアドレスも電話番号もでたらめ
いつもご覧くださりありがとうございます!
ちょっとサイトデザイン変えてみましたがいかがでしょうか?
って、とは言うもののテンプレートを変えただけなので私は何も手を下してはいません…(笑)
さて、今回ご紹介するのはクレジットカードの国際ブランド『アメリカンエキスプレス』(以降アメエク)
を騙ったフィッシング詐欺メール。
おかしなことにアメエクを名乗っておきながらそれとは全然異なるメールアドレスを使い
更には連絡先として記載の電話番号『03-6665-9155』をググってみると、なんと東京丸の内にある
クリニックのものとなっています。
それに本文は『重要なお知らせ』とだけ書かれていて何が重要なお知らせなのか大事なポイントされ
書かれておりません。
こんなものどうやったら信じることができるのでしょうか?
では、いつもの通りこのメールも解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。
件名は『[spam] 重要なお知らせ アメリカン・エキスプレス・インターナショナル,Inc.』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
いくら長くなるからと言って件名に半角カタカナは使いませんよね?
メールアドレスを全角アルファベットで書いたりとほんと詐欺メールってよく分かりません。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『"american express credit-service jpn" <kipfl@iparesign.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
いつものことながらこのドメイン(@より後ろ)はアメエクさんのものではありません。
このメールが本物のアメエクさんだったらドメインは必ず”americanexpress.com”となるはずです。
これまたさくらインターネットのユーザーじゃん
では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『from iparesign.com (os3-281-30246.vs.sakura.ne.jp [219.94.232.250])』 |
ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。
あれまた”sakura.ne.jp”ですからこの差出人はまたしても『さくらインターネット』のユーザーですね。
これきょう2回目ですよ!
さくらインターネットさんこのユーザー何とかしてくださいよ!!
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。
”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”iparesign.com”が差出人本人のものなのかどうかを
『Grupo』さんで調べてみます。
これがドメイン”iparesign.com”の登録情報です。
『対応するIPアドレスがありません』とあるのでドメインを割当てているIPアドレスは無いようです。
IPアドレスに割当てられていないドメインは利用することはできないので当然メールも送ることはできません。
これでアドレスの偽装は確定です!
”Received”に記載されているIPアドレス”219.94.232.250”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
恐らくはさくらインターネット本社のある大阪市北区の地図が表示されるでしょうが一応
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
ね、案の定です!
代表地点として地図に立てられたピンの位置は、さくらインターネット本社のある大阪市北区。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーももちろん『SAKURA Internet Inc.』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。
またしても詐欺サイトの設置場所は『日本大学鶴ヶ丘高等学校総合グラウンド研修館』付近
では引き続き本文。
重要なお知らせ
重要なお知らせがございますので、お手数ですが至急ご連絡をお願い申しあげます。
クレジット・サービス課 (電話03-6665-9155/ 月-金9:00-19:00,土日祝休)
**ご注意**
ログイン のうえ、ご確認ください。 |
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ログイン』って書かれたところに付けられていて、そのリンク先は
コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』で
このように判定されていました。
既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。
このURLで使われているドメインは”amexzb.kylincode.com”と、これまたアメエクさんの物とは
全く異なります。
このドメインにまつわる情報を『Grupo』さんで取得してみます。
このドメインを割当てているIPアドレスは”47.91.20.215”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
代表地点として地図に立てられたピンの位置は『日本大学鶴ヶ丘高等学校総合グラウンド研修館』付近。
こちらもあくまで大雑把な代表地点でございますがこれまた本日2度目の登場です。
利用されているホスティングサービスは『Alibaba.com LLC』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
本物そっくりのログインページようにも見えますが、これはアメエクの古いデザインのログインページ。
もうこのデザインではありません。
デザインは異なるとは言うもののここにIDとパスワードを入力してログインボタンを押してしまうと
その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |