『詐欺メール』ビクター・チェンから『Re: 家族の問題』と、来た件

迷惑メール
記事内に広告が含まれています。

海外の私立探偵から相続に関するメールが
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

どうして私の氏名を知らないの?

いつもご覧くださりありがとうございます!

今回のメールは、いつものようにリンクから詐欺を働くものではなくちょっと特殊のもので
ありもしない遺産をネタにメールの返信を募り詐欺に巻き込もうとするものです。

そのメールがこちらです。

『Victor Chen(ビクター・チェン)』と名乗る私立探偵なる人物からとされたこのメール。
要約すると、以前財産を残し無くなった故人と私が関係者の可能性があり遺産相続を臭わし
その詳細について知りたければ返信するように促すもの。
もちろん全部ウソですよ(笑)

まずこの『Victor Chen』について検索してみると、たくさんの人物の写真が出てきますが
どの人物も中国人っぽいですね。

このメール、本文中に私のメールアドレスが最初と最後の2箇所に出てきます。
まず『親愛なる』から始まる冒頭の挨拶部分。
ちょっと待ってくださいよ、普通ここは私の苗字が書かれるはずなのにどうしてメールアドレスなの?
この私立探偵を名乗る人物は、故人と私が関係者である可能性を示唆していますから当然私の氏名を
もちろん知っているはずですよね?
それなのにメールアドレスしか書かれてないのは違和感しかありません。
どうせどこかから漏洩した私のメールアドレス宛にこのメールを送ったもので、それ以外の私の
情報は何一つ知らないからです。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。

件名は『[spam] Re: 家族の問題 (******@********.***)』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”Victor Chen” <victorchekn@counsellor.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

以下は、メールのヘッダーの一部を抜き出したものです。

Reply-To: info@komoli.biz
From: “Victor Chen”<victorchekn@counsellor.com>

ここにある『Reply-To: info@komoli.biz』はこのメールに返信先。
普通にこのメールに返信をするとこのアドレスに返されます。
そして『From: “Victor Chen”<victorchekn@counsellor.com>』が差出人のメールアドレス。
あれれ?おかしくない?
どうして差出人と返信先のメールアドレスが異なるのでしょうね(笑)


”Received”から検証

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『Received: from server.wve.grv.mybluehost.me (server.wve.grv.mybluehost.me [142.4.25.179])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

おやおや?またここには新たな”server.wve.grv.mybluehost.me”なんてドメインが刻まれていますね。
これも踏まえて調査する必要がありそうです!

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”counsellor.com”が差出人本人のものなのかどうかを『Grupo
さんで調べてみます。

これがドメイン”counsellor.com”を割当てているIPアドレスの情報です。
これによると”3.33.243.145”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”142.4.25.179”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”counsellor.com”ではありません。
まずはこれで差出人アドレスの偽装は確定です!

では次に”Received”に記載されていた”server.wve.grv.mybluehost.me”と言うドメイン。
同様に『Grupo』さんで詳しく調べてみます。

このドメインはアメリカフロリダ州の方が申請されていることが分かります。
このドメインを割当てているIPアドレスは”142.4.25.179”で”Received”に記載のあったものとピッタリ一致!
これでこの差出人のアドレスのドメインは”counsellor.com”ではなく”server.wve.grv.mybluehost.me
であることが確定です!

Received”に記載されているIPアドレス”142.4.25.179”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで
確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

このIPアドレスを元に割り出した危険度は『脅威レベル:高』
その詳細は『サイバーアタックの攻撃元』表示とされていて既に業界では危険なIPとしてブラックリストに
登録されています。

代表地点として地図に立てられたピンの位置は、アメリカのプロボ付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーもアメリカに拠点を置く『Unified Layer』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。


まとめ

まあそんな甘い話は世の中に存在しないってことですよ!
お金に関わるこんな大切は内容なのに氏名すら知らないっておかしいですからね!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


タイトルとURLをコピーしました