サイトアイコン HEARTLAND

『詐欺メール』『メールアドレス認証のお願い【atone(アトネ)】』と、来た件

heart

 

★フィッシング詐欺解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

途中で文章が切れちゃってて説得力ゼロ

いつもご覧くださりありがとうございます!

今日はこの後払い決済『atone』に成りすます詐欺メールが多くみられます。
今回もその『atone』を騙ったフィッシング詐欺メールのご紹介となります。

件名:[spam] メールアドレス認証のお願い【atone(アトネ)】
:送信者 “atone(アトネ)” <netprotections-mhtzpj@service.hdqtdy.cn>atone

この度は、やさしい後払い決済「atone(アトネ)」をご利用いただき、ありがとうございます。

以下のボタンより、メールアドレスを認証して、会員情報の確認にお。

メールアドレスを認証する

※本メールの有効期限は、依頼受付から24時間です。ご注意ください。

今後ともatoneをよろしくお願いいたします。

※お心当たりのない場合やご不明点などございましたら、以下のFAQサイトからお問い合わせください。

※このメールは送信専用です。返信いただきましてもお受けすることができません。

株式会社ネットプロテクションズ

■atoneについてはこちら

atone(アトネ)|業界No.1企業が提供する後払い決済
atone(アトネ)は、スマホやPCですぐに使える後払い決済です。クレジットカードや銀行口座の登録は不要。さらに後払い決済で唯一ポイントが貯まるので、お得にお買い物が可能です。
atone.be

■ご質問?お問い合わせはこちら

よくある問い合わせ|atone - アトネ
faq.atone.be

利用規約 | プライバシーポリシー

Copyright(C) Net Protections,Inc. All Rights Reserved.

それにしても間抜けですね。
『以下のボタンより、メールアドレスを認証して、会員情報の確認にお。』
って途中で文章が切れちゃってて何が言いたいのか分かりません…
これは会員登録の本人確認のためのメール認証なのでしょうか?

まあ何にしろこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

シンガポールから配信

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”service.hdqtdy.cn
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
atoneのオフィシャルサイトにあるQ&Aに書かれている通り、atoneが利用するメールアドレスのドメインは『@atone.be』です。
故にそれ以外のメールアドレスで届いたものは全て偽物。
それにこのドメインの末尾は”.cn”ですから中国に与えられた国別ドメインですよ

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from service.hdqtdy.cn (unknown [103.6.169.126])

ドメイン”service.hdqtdy.cn”に関する情報を確認してみましょう。
こちらが『Grupo』さんで取得したこのドメインの情報です。

割当てているIPアドレスはReceivedフィールドのものと合致しましたので、このメールの送信者は、自身のメールアドレスを隠すことなく堂々と利用してこのメールを発信しているようです。
そしてそのドメインの持ち主は、これらの調査では頻繁に出てくる中国の方。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、シンガポール付近であることが分かりました。

アカウント乗っ取りが目的

さて、本文の『メールアドレスを認証する』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://my.atone-urress.easehr.cn/register/entry_by_np/
(直リンク防止のため一部の文字を変更してあります)
これまた『atone』のドメインとは異なるものが利用されていますね。

先程と同様に『Grupo』さんでこのドメインに関する情報を取得してみます。

またこの人物の所有物です。

このIPアドレスからそのロケーション地域を調べると、東京都杉並区付近であることが分かりました。

リンクを辿ってみると、なんとこのような詐欺サイトがどこからもブロックされることなく無防備に放置されていました。

調査の目的で適当な電話番号を入力して進んでみると、次のページでパスワードを求められました。
パスワードを入力してログインボタンを押してみると、インジケーターが永遠に回り続けてログインすることはできませんでした。

この結果から、恐らく詐欺犯は atone のアカウントが欲しかったようです。
故にパスワードを入力してログインボタンを押した時点で目的は達成されたのでインジケーターが永遠に回ったままのページを表示させたのでしょう。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
モバイルバージョンを終了