『詐欺メール』『「宅急便をスマホで送る」ご利用明細と領収書のお知らせ』と、来た件

★フィッシング詐欺解体新書★

いつもご覧くださりありがとうございます！

今回は、久々に『ヤマト運輸』を騙る詐欺メールのご紹介となります。

クロネコメンバーズ限定サービス『宅急便をスマホで送る』を巧みに使った詐欺メールです。
ところで『宅急便 80サイズ』ってこのサービスを使うと41円で送れるの？
送れませんよね？
実際の配送料金は1,350円かかるようですよ。(笑)
そしてこのメール、本物のメールからコピーしたかのように末尾に迷惑メールに関する注意喚起が記載されています。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”service.uems.cn”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
おやおや？これ末尾が”.cn”ですから中国のドメインですね。
因みに『ヤマト運輸』が利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると『@kuronekoyamato.co.jp』と出ました。
故にこのドメイン以外のメールアドレスで届いた『ヤマト運輸』からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

ドメインの持ち主について『Grupo』さんで調べると、IPアドレスが合致したので間違いなく送信者のもので、その氏名は当用漢字に無い漢字3文字が利用されたもの。
その申請は中国の『上海福虎信息科技有限公司』を介して行われていました。

そしてこのIPアドレスから導き出したおおよそのこのメールの発信地は、米国イリノイ州『エルクグローブビレッジ』であることも分かりました。

いつの間にか配送失敗の通知に変化

さて、本文の『お支払い手続きはこちら』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://member.kuroekoymato-que.tdapff.cn/idkojintp/】
(直リンク防止のため一部の文字を変更してあります)

これまた『ヤマト運輸』のドメインとは異なるものが利用されていますね。
そしてまたしても中国のドメイン…

先程と同様に『Grupo』さんでこのドメインを割当てているIPアドレスを取得してみます。

またしても中国の方が取得しているドメインですよ！

このIPアドレスからそのロケーション地域を調べると、『東京都杉並区和泉2丁目』付近であることが分かりました。

リンクを辿ってみると、どこからもブロックされることなくこのようなページ開きました。

『配送失敗の通知』…
あれれ？未払いの運賃徴取じゃなかったっけ？
それに41円は再配達料金っぽいですね…💦

そうです、宅配業者を騙る詐欺メールで多く見られるのは、再配達料金を請求しオンライン決済を行わせるふりをしてクレジットカード情報を盗み取ろうとするもの。
これもその類ですね。
このようなサイトで個人情報やクレジットカード情報を入力してはいけません！

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;