『詐欺メール』『【ヤマト配送】お届けｅメール【不在連絡】』と、来た件

★フィッシング詐欺解体新書★

件名は変えても中身は同じ

いつもご覧くださりありがとうございます！

相変わらず宅配業者を騙る詐欺メールが後を絶ちませんが、奴らもアホじゃないようで同じ件名ばかりじゃ脳が無いってことで新しい件名を付けて新たなメールを送ってきます。
今回ご紹介するのはこちらのメール。

まあ件名を変えようが結局は実在しない架空の荷物を騙って再配達料金をオンライン決済で支払わせるふりをしてクレジットカード情報を盗み出そうとするのが目的です。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されている妙に長ったらしいメールアドレスのドメイン(@より後ろ)は”service.laikexd.cn”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに『ヤマト運輸』が利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると『@kuronekoyamato.co.jp』と出ました。
故にこのドメイン以外のメールアドレスで届いた『ヤマト運輸』からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

ドメイン”service.laikexd.cn”を割当てているIPアドレスと比較してみましょう。
こちらが『Grupo』さんで取得した”service.laikexd.cn”の取得者情報と割当てているIPアドレスです。

ReceivedフィールドのIPアドレスｔぉ合致したのでドメインの持ち主は間違いなく送信者のもので、その氏名は当用漢字に無い漢字3文字が利用されたもの
その申請は中国の『北京网尊科技有限公司』を介して行われていました。
そしてIPアドレスから導き出したおおよそのこのメールの発信地は。香港の『Mong Kok(旺角)』であることも分かりました。

詐欺サイトは無防備に放置中

さて、本文の『再配達を申し込む』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://kuroekoymato-underid.fvcai.co/idkojin_tp/】
(直リンク防止のため一部の文字を変更してあります)
これまた『ヤマト運輸』のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、多くの詐欺サイトが存在する『東京都杉並区和泉２丁目』付近であることが分かりました。

リンクを辿ってみると、全くどこからもブロックされることなくこのようなページが無防備に放置されていました。

ヤマト運輸の詐欺サイトでよく見掛けられるページですね。
『配達情報を更新』と書かれた黒いボタンを押すと氏名、住所、電話番号等の個人情報を記入するフォームが表示され、これらを埋めて先に進むと、次に再配達料金を徴収するとしてクレジットカードの情報を入力させられて詐欺を行う準備が整います。
実際には今現在のところヤマト運輸では再配達料金は必要ありませんのであしからず…

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;