『詐欺メール』『【新年感謝祭】5000円相当のポイントを今すぐ受け取ろう！【atone（アトネ）】』と、来た件

★フィッシング詐欺解体新書★

今度は偽のキャンペーンをネタに

いつもご覧くださりありがとうございます！

立て続けに3つ目の後払い決済『atone(アトネ)』を騙る詐欺メールです。

まあ恐らく同一犯の仕業だと思いますが、ご興味があれば以下のブログエントリーもご覧ください。
・『詐欺メール』『【NP後払い】ご注文ありがとうございます』と、来た件
・『詐欺メール』『弁護士への債権回収委託の可能性について（楽天市場）』と、来た件

今回のメールは、偽のキャンペーンを装った人間心理を突いたもので、それをネタにリンクに誘い込み atone のアカウント情報を詐取して乗っ取りを画策しようとするもの。
昨日この atone を装ったメールを受取るまでこのような後払い決済自体存在を知らなかった私に、突然届き始めたこれらのメール、絶対に詐欺メールです！

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”fameng.asia”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
atoneのオフィシャルサイトにあるQ&Aに書かれている通り、atoneが利用するメールアドレスのドメインは『@atone.be』です。
故にそれ以外のメールアドレスで届いたものは全て偽物。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

ドメイン”fameng.asia”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”fameng.asia”を割当てているIPアドレスです。

ピッタリ合致しているのでこの送信者は、自身のメールアドレスを隠すことなく堂々と利用してこのメールを発信しているようです。
このIPアドレスからメールの発信地を導き出してみると、東京都杉並区付近であることが分かりました。
それにこのIPアドレスは、既に危険なものとしてブラックリストに登録されていますよ！

携帯番号とパスワードを入力してしまうと乗っ取り被害に遭う

さて、本文に atone の公式ドメインを使って記載されている詐欺サイトへのリンクのURLですが、当然これは偽装。
本当のリンク先のURLは以下の通りです。
【h**ps://phasexab.com/logon/one8206652c61337de993ae6b243577f/】
(直リンク防止のため一部の文字を変更してあります)
やっぱり『atone』のドメインとは異なるものが利用されていますね。

『Grupo』さんでこのドメインに関する情報を取得してみます。

これによるとこのドメインは、千葉県の方が取得していることになっています。
あくまでこれが正確ならばのお話ですが…
割当てているIPアドレスからそのロケーション地域を調べると、カナダの『トロント市庁舎』付近であることが分かりました。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

Chrome のアドレスバーを見ると『×危険』と注意喚起されているので、Googleでは既に危険なサイトとして登録されているようです。

わざわざ確認にはいきませんが、これまでの調査から携帯番号とパスワードを求められ、入力してしまうと atone のアカウントが詐取され乗っ取り被害に遭うことになりますのでご注意ください。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;