『詐欺メール』『(6) 不在着信』と、来た件

heart

3日前

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます！

・当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます。

件名の見出しを確認
メールアドレスのドメインを確認
宛名を確認
リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

目的は『Aliyun Mail』アカウントの乗っ取り

今回は、『ボイスメール』に成り済ます不審なメールのご紹介となります。
昨日このようなブログエントリーを書きました。

『詐欺メール』『+81 (***) 547- 4959 から新しいボイスメールメッセージが届きました』と、来た件

★フィッシング詐欺解体新書★スマホやタブレットが普及し増々便利になる私たちが生活する世の中。それに比例して増えてくるのが悪質な詐欺行為。このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし悪意を持ったメールを発見次第できる...

今回もこれと同じような類のメール。

件名：[spam] (6) 不在着信 2025/1/28 5:35:08
送信者：”******.*** ボイスメール” <kup@ops.dti.ne.jp>

******.*** ボイスメッセージ

参照 01A-3468NUMBER5

受信者: ユーザー

連絡先から新しい音声メッセージが届きました。下記をクリックして聞いてください

02分14秒.mp3

時々こういった意味不明なメールが届くのですが、ボイスメールと言うのは、電話着信時不在の場合、発信者が留守番メッセージを録音できる機能で、そのデータをメールの添付ファイルとしてあらかじめ登録したメールアドレスに送信することができるサービス。
不審ですよね、常に事務所に張り付いているような業務の私に、どうして不在着信をボイスメールに残す必要があるのでしょうね？
それに件名の『(6)』って何の数字でしょう？
もしかして6つ目のボイスメールってことでしょうか？

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『dti.ne.jp』
このドメインについて『Grupo』さんにて情報を取得してみました。

このドメインは、光回線業者の『ドリーム・トレイン・インターネット』さん。
『対応するIPアドレスがありません』とあるので、このドメインは現在利用できないもの。
この企業の公式ドメインは『dti.co.jp』で『dti.ne.jp』ではありません。
うちの社でもそうですが、自社名の入ったドメインを他所に取られないために、事前に取得しておくことが多くあります。
恐らくこのドメインも同様で、利用する気はないが他社に取得されないために取り置きしてものと思われます。
と言う訳で、利用できないドメインを使ってメールの受送信はできないので、偽装されています。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from ops.dti.ne.jp (113x43x102x122.ap113.ftth.ucom.ne.jp [113.43.102.122])

ほらほら、ここには先程とは全く異なるドメインが記載されていますよね。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、JR神田駅周辺であることが分かりました。

宛名を確認

このメールには宛名はありませんが、あえて宛名と言うなら冒頭の『******.*** ボイスメッセージ』と言う部分。
ここにある『******.***』は受信者メールアドレスにあるドメイン部分が記載されています。
普通に考えて不在着信のボイスメッセージの宛名なら、受信者の氏名が記載されるのではないでしょうか？

リンク先のドメインを確認

さて、本文の『02分14秒.mp3』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://bloqueado.canoasnet.com.br/jp/indesx.htm】
(直リンク防止のため一部の文字を変更してあります)
因みに末尾の『.br』はブラジルに与えられた国別ドメイン。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、ブラジルのサンタマリア付近であることが分かりました。

このリンクを辿ってみると、ウイルスバスターにブロックされました。
解除して先に進むとこのようなページが開きました。

最上段のアイコンに『阿里邮箱（Aliyun Mail）』と書かれているのでは、中国の大手テクノロジー企業であるアリババグループが提供する電子メールサービスで、簡単に言えばウェブ上でメールの受送信ができるウェブメーラーです。
もちろんこのページは偽物で詐欺サイトです。

これらの結果からこのメールは、この Aliyun Mail の偽サイトへログインさせるふりをしてアカウント情報を抜き取ろうとするもの。
当然抜き取られたメールアカウントは悪用され、詐欺メールや迷惑メールの送信などのサイバー犯罪に利用されてしまいます。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;