『詐欺メール』「支払いの問題でApple IDがロックされました」と、来た件

Appleを装った詐欺メール

月曜日、また新しい週の始まりは週明けの迷惑メール仕分けに忙しい朝となります。
でもまぁ今週は少なくて済みそうな感じ。

自身の仕事用受信ボックスにspamスタンプされているメールが5通。
見るからにいつもの面々なので全てきれいさっぱりゴミ箱行き。

次にサーバーの迷子メールを見てみると…
退社したスタッフが使っていたメールアドレス宛に”Apple”を装った新種のフィッシング詐欺
メールが届いていました(^^;
このアドレスは、スタッフが退社すると同時に閉鎖しているので現在は受信できないので
迷子としてサーバーに残されていました。

ではその内容をご紹介していきましょうか♪

プロパティーとヘッダーから

まずプロパティーから。

件名は「[spam] 支払いの問題でApple IDがロックされました。【警告】」
はい、ちゃんと[spam]スタンプ入っていますね。
うちの受信サーバーで悪意のあるメールと判断された証拠です。

犯人は無意識かも知れませんが、”【警告】”が後ろに書いてあるので倒置法(笑)
普通は先頭に書きますからね^^;

そして笑えるのが、差出人。
”Apple”と称しているのに差出人が「”Apple Pay” <info@twitter.com>」
これってご冗談でしょ？(;^_^A
なぜ”Apple”からのメールのドメインが”twitter.com”なん？
こんなの見せられると、愉快犯なのかと疑ってしまいますよね…

で、これがこのメールのヘッダーの一部。

時系列の一番古い”Received”を見てみるとIPアドレスは”19.236.229.35”か若しくは
”35.229.236.19”
どちらも調べてみると、前者は該当なしで後者のリモートホストは”googleusercontent.com”と
出ました。

リモートホストは”bc.googleusercontent.com”と出ているのでGoogle関連のサービスですね。
調べてみるとどうやらGoogle提供のクラウドからのアクセスらしいと言う事が分かりました。

では、今度は”Return-Path”に記載された”postmaster@inandoutmedia.org”のドメイン。
所在はアメリカのアリゾナ州と出ました。
もちろん偽装されている可能性が高いので別人のサーバー所在地かも知れません。

コピーサイトは犯罪です！

これが本文です。

「 この手紙は信頼できる送信者から送信されたものです。
このメールアドレスはAppleアカウントとして登録されています。 」

って最初っから自身の肯定から入る当たりが怪しいですよね(笑)

「お支払いの同期」　「あなたのアカウントがフォローアップまで」
なんでこう難しい言葉を使いたがるかと言うと、翻訳しているからに他なりません。

「支払い同期」と書かれたボタンが詐欺サイトへのリンクです。
そのリンク先のURLはこちら。

使用されているドメインは”1o5nngsn2dr1mdpivtd6e3ooc.dsadsafewfergrhtg.com”
このドメインについて調べてみると。

ふむふむ。
このドメインはアメリカの”namecheap”というプロバイダーでパナマの人から申請取得
されたもので、現在はアメリカに所在があることが分かります。

では、もう少し地域を絞ってみます。

このドメインのサーバーはアメリカ合衆国のカリフォルニア州にあるマウンテンビューという
街に所在があることが分かりました。
地図のポイントはピンスポットじゃありませんので悪しからず。

上記URLに接続してみると、まだ健在です(笑)
ご覧の通り完璧なAppleのコピーサイトが表示されました。

ここで間違ってもApple IDを入力してはいけません。
ズブズブと泥沼にはまってしまいます(汗)
きっとこの先はパスワードの入力画面の次に、個人情報の入力、クレカ情報の入力と
進んでいくはず…

どこのサイトにもページの最下段に著作権に関する行がありますよね？
なのでそれぞれサイトは著作権によって守られています。
なので、こんなコピーサイトは作って公開するだけでも法に触れてしまいます。
皆さんは絶対にこんなサイトへ出向くことは止めてくださいね。

初っ端の”Apple”と称しているのに差出人が「”Apple Pay” <info@twitter.com>」と
言うところから笑わされましたね。
そして”Apple”が”1o5nngsn2dr1mdpivtd6e3ooc.dsadsafewfergrhtg.com”なんて
長ったらしく見栄えのしないドメインでサイトを運営するなんて考えられませんよ。