『詐欺メール』『【案内】電気料金支払いの再確認。番号：AB-36660272586』と、来た件

heart

4か月前

東京電力？ギルト？AEON？

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

ギルトさんのドメインを使ったメールアドレス

いつもご覧くださりありがとうございます！

いや～しかし留まることを知りませんね、東京電力を騙る詐欺メール。
相変わらず今日もメールボックスは溢れかえっています。(;^_^A
今回ご紹介するのも未払いの電気料金を誘い文句にしたもの。

このメールはの差出人として記載されているメールアドレスをよく見ると、アカウントに”aeon”って文字が使われています。
もちろんあの大手流通グループ『イオン』を意識したもので差出人がわざと意図的に使ったと思われ
更には@以降のドメイン部分には”gilt.jp”と記されているのでこれもブランド通販サイトの『GILT(ギルト)』さんのドメインを使っています。
最近の詐欺メールではこの”gilt.jp”以外にもクラフト作品の通販サイト『クリーマ』さんの”creema.jp”というドメインも多く使われています。
もちろんこの2社には相当の問い合わせが寄せられているはずで、共に詐欺メールには全く関係が無いのでまた違う意味で被害者ですよね。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『[spam] 【案内】電気料金支払いの再確認。番号：AB-36660272586』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は『”くらしTEPCO” <aeon-obk@gilt.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

先にも書きましたがこのドメイン”gilt.jp”はブランド通販サイトの『GILT(ギルト)』さんのドメインです。
もちろんギルトさんが詐欺メールに加担しているはずも無いので偽装されています。

ロサンゼルスからのメール

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from C20240806355549.local (unknown [45.207.207.197])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレは送信者のデバイスに割当てられたもので偽装することができません。
このIPアドレスは、差出人が利用したメールサーバーの情報でこれを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、ロサンゼルス付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーは『Fd-298-8796』
あまり見掛ないプロバイダー名ですが、どうやら米国の企業で、検索すると迷惑メールに関する情報が散見されます。
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して届けられたようです。

詐欺サイトは既に閉鎖

では引き続き本文。

未払いの電気料金に関しまして、重要なお知らせがございます。以下の内容をご一読いただき、お早めにご対応をお願い申し上げます。

お支払い期限: 2024-08-08

当社においてお支払いの確認が取れておりません。ご迅速なご対応をお願いいたします。

お支払い方法:

オンラインでのお支払い: 以下のボタンをクリックして、オンラインでお支払いください。
お支払いページへ

お支払い前に、添付の請求書をご確認いただき、金額が正確であることをご確認ください。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『お支払いページへ』って書かれたところに付けられていて、そのリンク先をコンピュータセキュリティブランドのトレンドマイクロの『サイトセーフティーセンター』で検索するとその危険度はこのように評価されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。

このURLで使われているドメインは”279891.cc”
この”.cc”は、オーストラリア領ココス諸島に割り当てられているドメイン。
このドメインにまつわる情報を『Grupo』さんで取得してみます。

このドメインは『キルギス』の方が取得されているようですが、『Province: KYOTO』とありますから恐らくでたらめでしょう。
割当てているIPアドレスは”156.238.249.22”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、またしてもロサンゼルスで、利用されているホスティングサービスも先程と同じ『Fd-298-8796』です。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

詐欺サイトにチラッと行ってきましたが既に閉鎖済みでした。

恐らくはこのサイトが利用しているホスティングサービスが悪事に気付き強制的に閉鎖させたものと思われます。

まとめ

このサイトではもう悪事を行うことはできませんが、奴らは複数のサイトを持っていて安心はできません。今後も気を緩めることないようお願いいたします。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;