『詐欺メール』「回复：あなたのアカウントは停止されました」と、来た件

もう日本の字じゃなくなってきてる！

少しの間、いつもの見慣れたものしか送られてきませんでしたが、またここに来て複数の
ブラックなメールが届いております(^^;

どれもがショッピングサイトになりすましたフィッシング詐欺メールとなっています。
その中で、最も特徴的なものにスポットを当てて見ていこうと思います。

チョイスしたのはこちらのメールのプロパティー。

差出人は「Amazon.co.jp <account-update@amazon.co.jp>」
このメールアドレスを使って送られてくるものがもの凄く多いんですが、当然これは偽装。
一番下に見えてる”Return-Path”と全然違うので偽装だとすぐに分かりますよね♪
そして、メールヘッダーと呼ばれるメールの情報をツラツラと読みこんでいくと見えてくる
”Received”の箇所に発信元のIPアドレスが書かれています。

このIPアドレスについて調べてみると、割り当てられているドメインは”mycharto.com”
繋いでみると、ウェブサーバーは稼働しているのもののサイトは何も作成されていません
でした。
このドメインが取得された地域は”パナマ”で、現在このIPアドレスが利用されている地域は
”アメリカ合衆国”と出ました。

更にアメリカのどこに所在しているのかも調べてみました。

件名は「[spam] 回复： あなたのアカウントは停止されました」
いや、日本人って”复”って使います？
ネットで調べると中国語の情報ばかり出てくるんですけど…
もう、日本の文字じゃなくなってきてる気がします。

[spam]はうちのメールサーバーが付加した文字で、「迷惑メールの類だから注意しなさいよ」
と、注意を促すものです。

出た出た、ワードサラダ(汗)

本文はとい言えば、今までに何度か見掛けたものと全く同じ。
そう、例の永久ロックってヤツですわ(笑)

但し、今回はチト違って、裏にこんな仕掛けが隠されていました。
上の画像はHTML形式で表示されているものですが、メーラーの設定をちょいと変えて
プレーンテキスト形式の表示に切替えて見ると…

ワードサラダが隠されていました。
ワードサラダについてはうちのサイトでも何度かご紹介しているので詳しい説明は割愛しますが
簡単に言うと、本文中に意味の無い文字を入れてサーバーのセキュリティー対策を混乱させる
手段です。

今回のワードサラダの文字列は”##mix_normal_10##”
いや、これは全然”normal”じゃありませんよ…(;^_^A

でもこんなことしても無駄。
うちのサーバーではしっかりフィルターに引っ掛かり、上で紹介したように[spam]と
スタンプが押されています。

.xyzには気を付けろ！

このメールはフィッシング詐欺メールなので、文中のリンク先にあるウェブサイトを使い
詐欺を行う仕組み。
その最初の一歩であるリンク先のURLはこちら。

出ましたね、格安の”.xyz”ドメイン。
つい買い捨て目的ですね。
その証拠に、取得したばかりで契約も単年。
きっと100円程度で契約されたドメインのはずです。

リンク先は皆さんの想像通りなのでわざわざ訪問しません(笑)
詐欺の流れは、まずアマゾンの偽ログイン画面でIDとパスワードを入力させた後
住所や電話番号などの個人情報を入力するフォームをで情報を更新するように促されます。
次にカードの情報も同様に更新させられ、最後はAmazonの公式ページにリンクして終了。
ここまで行くと犯人の思惑通りで万事休す、買物されるはカードを使われるはで散々な目に
遭わされてしまいます。
最後にアマゾンの公式サイトに接続されるものだから、被害者は正常に情報が更新されたと
思いこんでしまうため被害が大きくなるのです。

もし、皆さんにショッピングサイトからこのようなメールが届いたらどうします？
動揺してしまい冷静さを欠きついついメールに書かれてるリンクボタンを押してしまいそう
ですよね。
でも、こういう時こそ冷静になり、冒頭にあるようにメールのリンクからではなく
スマホアプリやブックマークから、もしくはウェブ検索して正規のサイトで情報を
確認してみて下さい。
また、怪しいなと思ったら件名などでウェブ検索し情報を探してみるのも一つ。

今後もこのような悪質なメールはどんどん紹介し、皆さんの被害が未然に防げるよう
非力ながら協力していきますので是非参考にしてくださいね。
くれぐれもお気を付けて。