サイトアイコン HEARTLAND

『詐欺メール』「「ビザによる確認」ウィンドウに正しい安全なコードを入力します」と、来た件

heart

バカボンパパからのメール?
!ご注意!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。
このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください!
リンクは当該サイトを装った偽サイトへ誘導で、最悪の場合、詐欺被害に遭う可能性があります。
ですから絶対にクリックしないでください!
どうしても気になると言う方は、ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするように心掛けてください!

”PayPal”から来た怪しいメール

記録的な猛暑で暑い暑いと言ってたのも10月も10日間が過ぎ、めっきり秋めいてきました。
そんな中、ちょっと仕事も落ち着いたので週末に事務所の代表メールを整理。
すると少し前に届いていたこんな怪しいメールが来てたのを何故か見落としてました。
見たことの無い内容なので遅くなりましたが紹介しておきたいと思います。

では、いつものようにメールのプロパティーから見ていきます。

送り主は”PayPal”とあります。
差出人は「Paypal.co.jp <info@ppl.ja>」
wikiによると”PayPal”とは
「電子メールとインターネットを利用した決済サービスを提供するアメリカの企業である」
とあります。
”ペイパル”と読むようで、PayPayのような決済代行サービスですね。
メールアドレスは”info@ppl.ja”と記載されていますが、100%偽装されています。
だって”.ja”なんてドメイン存在しませんから(笑)
どうやら日本のドメインぽく見せるためでしょうが、素直に”.jp”にした方が良かったんじゃ
ないでしょうか?
それに、ヘッダーの”Return-Path”には全く違う”curosoplumbing@host1.phreee.com”なんて
メールアドレスが記載されていますから嘘がバレバレです(笑)
更にヘッダーにある”Received”の時系列が一番古いものを確認してみると

と書かれています。
2週間ほどちょっと古いメールなのでどうかなと思いましたが、一応IPどドメインの関連性を
調べてみると。
IPアドレスとドメインはメールの頃と一致。
運用国はアメリカと出ています。

件名は「「ビザによる確認」ウィンドウに正しい安全なコードを入力します」
意味がサッパリ分かりません(笑)
そもそも”info@”と書かれてる事務所の代表アカウントに仮想通過からのメールを送ること
自体間違っていると思うのですが…(^^;

「成功に失敗」

では、次に本文。

初っ端に「このメッセージは信頼できる送信者からのものです。 」って
冒頭から正当化宣言してる時点でもう怪しいですわ(笑)

読んでみるとお分かりのようにもう完全に機械翻訳の文章ですね(;´Д`)

まず、「リミテッドエクササイズの成功に失敗しました」
最初っから分け判りません。
「リミテッドエクササイズ」って直訳すると「限られた運動」ですよね。
そのままつなげてみると。
「限られた運動の成功に失敗しました」…
あっ、それっってバカボンパパの名言「賛成の反対なのだ」からパクったでしょ~?(笑)

本文を抜き出してみました。

私たちはあなたの不正行為の一部が間違っているか間違っていると思われると信じています。
事前に、特定のアカウント機能へのアクセスが一時的に制限されています。

私は何をすべきか :

すぐにあなたの詳細を確認して、あなたのチャヤルのアカウントのすべての利点を楽しむことができます。

お客様を自動的に検証するために必要なすべての手順を実行します。この場合、不幸にも 詳細を確認できませんでした。

以下のリンクをクリックして、セキュリティで保護されたサーバーのすべての攻撃を確認する必要があります 必要なすべての手順を完了します。

これ、ネイティブな日本語じゃないので全く入ってこない文章で
ほとんどなに言ってるか分かりません(汗)
ところで文中にある”チャヤル”って何のことでしょうか?
調べてみましたが、意味不明でした。。。

因みに、HTMLだったメールをテキスト表示に変えてみるとこうなります。

私、怪しいメールは全てこうやってテキスト形式に表示を切り替えて確認しています。
こうやって見るとワードサラダの存在の確認ができリンク先も筒抜けになります。

文中「今すぐ確認 」と書かれたリンクボタンのリンク先URLはこうなっています。

これが詐欺サイトの入口となる偽ウェブサイトです。
そしてその他のリンク先は全部”PayPal”に全く関係のない”Google”ですね。

上のURLに行ってみるとこんな真っ赤なイギリスの企業サイトにたどり着きました。

URLは”https://propress.co.uk/”
確かにさっきのリンクURLのドメインは合っていますね。
その先は”wp-content/plugins/nqzorlz/ss/signin/”…ん?
”wp-content”って事は子のサイトでも使ってる”WORDPRESS”で作られたサイトですね。
”plugins”って事はその拡張機能ですが”nqzorlz”については良く分かりません。

結局、”propress”って会社のトップページにリダイレクトされたって事は、サイトは既に
閉鎖されていると言う事でしょうか…

”plugins/nqzorlz”で検索するとこんなのがヒットしてきました(汗)

そして冒険してみるとウィルスバスターからの警告が…

無視して行ってみましたが、やっぱりリンク切れで結局例の真っ赤なサイトへリダイレクト
されてしまいました。

この企業のウェブサイト内にフィッシング詐欺サイトが作られていたことは間違いない事実。
そのサイトをこの企業のスタッフが作ったのか、それとも乗っ取られて改ざんされたのかは
分かりませんが、もし乗っ取られてたとすればこの企業さんも被害者ですね。

しかし、いつもならうちのサーバーはこれ系のメールの場合[spam]スタンプ付けてくれるのに
なぜ今回は通過させたんでしょうか?
これも私がこのメールを見落とした1つの原因。
もう少し気を引き締めていないと、そのうち騙されますね(^^;

 
こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS不随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)
モバイルバージョンを終了