『詐欺メール』『【48時間限定】10,000 dポイントを今すぐ受け取ってください！』と、来た件

★フィッシング詐欺解体新書★

またしても偽キャンペーンの便乗詐欺

いつもご覧くださりありがとうございます！

なんか最近キャンペーンの便乗詐欺ばっかり書いている気がします。
今回もご多分に漏れず、NTTドコモに成りすまし『dカード特約店 年末年始キャンペーン』なんてキャンペーンを騙ってリンクに誘い込もうとするフィッシング詐欺メールです。

それにしても10,000ポイントをプレゼントなんて太っ腹なキャンペーンですね。(;^_^A
もしかしたら過去に同名のキャンペーンがあったのかも知れませんが、調べてみたところ、このキャンペーンは実在しないようで現在は行われておりません。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”npxxht.com”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにNTTドコモによると同社がインフォメーションで使うメールアドレスのドメインは『@docomo.ne.jp』であるとの事。
故にこのドメイン以外のメールアドレスで届いたNTTドコモからのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

ドメイン”npxxht.com”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”npxxht.com”を割当てているIPアドレスです。

Receivedフィールドのものとピッタリと一致しました。
この結果からこのメールの送信者は、自身のメールアドレスを偽装することなくこのメールを送ってきたことになります。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、香港の『九龍地区(Kowloon)』付近であることが分かりました。

な～んか、最近この地図よく見掛けますね…

リンクはCloudflareからブロックされました

さて、本文に直書きされている詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://dcard-ne-jp.yh6973.com/?apply=b1gnl5cEw6YquFeO04uhTzEH】
(直リンク防止のため一部の文字を変更してあります)
これまたNTTドコモのドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、カナダの『トロント市庁舎』付近であることが分かりました。

リンクを辿ってみると、このようなページが開きました。

ちょっと何が書いてあるか分からないので翻訳してみました。

これはインターネットセキュリティーサービスの『Cloudflare』が発している警告で
これ以上先に進まないように注意喚起しています。
経験上このように注意喚起してくれるサイトはほんの一握り。
全部の詐欺サイトがこのように警告してくれれば誰も騙される事は無いのにね。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;