『詐欺メール』『ヤマト運輸のお知らせ』と、来た件

企業名が一貫しない詐欺メール

いつもご覧くださりありがとうございます！

今回は『ヤマト運輸』に成りすます、少しおバカな詐欺メールをご紹介しようと思います。

ヤマト運輸さんの正式商号は『ヤマト運輸株式会社』
でもこのメールにはそれ以外に『日本ヤマト』や『日本ヤマト運輸株式会社』など実在しない商号が記載されています。
この送信者は一貫性ってのは無いのでしょうか？(笑)

そして『日本ヤマトからゆうパック』とありますが、『ゆうパック』って日本郵便株式会社が提供する宅配便サービスの名前で、あえてヤマト運輸さんのサービスで言うなら『クロネコゆうパケット』のはずです。
これじゃ信じろと言う方がおかしいと思いますよね！

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

発信元は米国のダラス

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”lyg9lyynk.com”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
こりゃどこからどう見てもヤマト運輸のドメインじゃありませんよね。
因みに同社の公式ドメインは『kuronekoyamato.co.jp』です。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

ドメイン”mail6.lyg9lyynk.com”に関する情報と割当てているIPアドレスを確認してみましょう。
こちらが『Grupo』さんで取得した”mail6.lyg9lyynk.com”に関する情報です。

このドメインは 中国 貴州省 遵義市 の方が申請取得されているようです。
そして割当てているIPアドレスはReceivedフィールドのものと合致しました。
故にこの送信者は自身のメールアドレスのドメインを隠すことなく堂々と詐欺メールに利用しているようです。

このIPアドレスからメールの発信地を導き出してみると、米国の『ダラス』付近であることが分かりました。

福岡の方が取得したドメインを使って詐欺サイトを運営

さて、本文の『荷物をご確認願います』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://patrickohanley.com/dd/】
(直リンク防止のため一部の文字を変更してあります)
これまた『ヤマト運輸』のドメインとは異なるものが利用されていますね。

まずはこのドメインの詳しい情報を『Whois.com』さんで取得してみます。

これによると、本当かウソか知りませんが福岡の方が登録申請しているようです。

今度は『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、『東京都杉並区』付近であることが分かりました。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

どことなく日本語がぎこちないヤマト運輸の詐欺サイトはよく見掛けるページです。
配達情報を更新しに行くと、個人情報を入力させられた上で、最終的に実際にはありもしない再配達料徴収と称してオンライン決済でクレジットカードの情報を盗み取ろうとしてきます。
当然盗み取られたクレジットカード情報を悪用され詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;