『詐欺メール』ANAから『【破格交‌換‏】‍ど‌の都‏市‌で‎も一‌律‎1‍0‌,‌0‌0‍0‎マ‌イ‏ル‌!‍目‍的‎地‎は​シ‎ス‍テ‏ム‎選択』と、来た件


★フィッシング詐欺メール解体新書★


スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。


いつもご覧くださりありがとうございます!

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
★証券会社に成り済ます悪質なメール終息気味ですが、まだ確認されていますので資産運用されている方はご注意ください★

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。


前書き

また最近ANAマイレージクラブを装い、マイルが自動で加算されていとして会員情報の修正と確認を行うよう求める詐欺メールが多く見られるようになってきました。
日本にはANAの他に大手航空会社のJALがありますが、怪しいメールが送られてくるのは何故だかほとんどがANAを装ったものばかり。
何かANAに恨みでもあるのでしょうか?
今回は、そんなANAに成り済ます不審なメールで『破格交‌換‏】‍ど‌の都‏市‌で‎も一‌律‎1‍0‌,‌0‌0‍0‎マ‌イ‏ル‌!‍目‍的‎地‎は​シ‎ス‍テ‏ム‎選択』と言う件名の物ですが、全く同じ内容で『ANAグループ』と言う送信者名で『【 人 生 が 変 わ る 】 予 想 外 の 出 会 い が 待 つ 場 所 へ 、 1 0 , 0 0 0 マ イ ル』と言う件名のものも確認されていますので併せてご注意ください。

では、詳しく見ていくことにしましょう。


以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。


メール本文


ここから本文
↓↓↓↓↓↓



件名:[spam] 【破格交‌換‏】‍ど‌の都‏市‌で‎も一‌律‎1‍0‌,‌0‌0‍0‎マ‌イ‏ル‌!‍目‍的‎地‎は​シ‎ス‍テ‏ム‎選択
送信者: “‍A‍N‌A" <quarantine@anamail060.salon188.com>


■ ‌ANA神秘‌の旅マイル交‎換 ■
■‌ ‏あなた‍のマイルで未知なる冒険へ ​■

いつもANAをご利用い‌た‌だき、誠にありがとう‎ございま‌す。

■ ‌特別マイル交換レー​‍ト
10,000マ‎イル = 往復航空券
日​本全国43都‍市‏へ‏の‏神秘の旅

‏■ 革新的なマイル交換プログラムのご案内
‍貯まったマイルを使って、予想外の素‍晴らしい旅行体験‌をお楽しみ‍く​だ‎さい。
通常のマイル交換とは異なり、目的地は‍システム‍が自動選択いたします。どこに​行けるかは‎出発‎までのお楽しみです!

■ 交‌換対‌象都市(全43都市)
以下の魅力的‏な都市の中から、‎システムがランダムに目的地‏を選択いたします:
東京、横浜、‏千葉、水戸‏、大‌‏阪、京都、神‍戸、奈良、和歌山、名古屋、
富山、金‎沢、​福井、静‎岡、松‏本、札幌、函館、旭川、帯広、釧路、稚内、
女‎満別、仙‌台、青森、秋田、山形、福‎島、花巻‍、福岡、熊本、鹿児島、‌
宮崎、大分、長​崎、佐賀、高松、松山、高知、‌徳​島、那‌覇、石垣、宮‎古島

■ マイル即時交換
お持ちのマイルから10,000マ‌イルを使用して即座に往‌復航空券と交換

■ サプラ‌イズ目的地
出発72時間前に目的地をお知らせ。どこに‏行けるかはお楽‌しみ

■ 座​席‌アップグレード抽選
運が良けれ‌ばビジ‍ネスクラスにアップグレード!追加マイル不要

■‎ 月間交‌換‍‎枠:1,000件​限‏定
このユニークなマイル交換プログラムは月間1,000件限定です。お早めの交換‌をお勧めいたします‏。

マイルロ‍グ​インし‌て交換す‌‌る
h**ps://app.adjust.com/ejzz6s?%63%61%6D%70%61%69%67%6E=%52%57%44&%72%65%64%69%72%65%63%74=%68%74%74%70%73%3A%2F%2F%61%6E%61%69%6F%6E%61%2E%6E%69%70%70%6F%6E%65%65%6D%61%69%6C%2E%63%6F%6D

‍■ マ‏イル交‏換条‎件・​注‌意事項
※ ANAマイ‍レージクラブ会員ア‍カウントが必要
※​ 交換には10,000マイルが‎必要(‎アカウ​ン‎トから自動引き落とし)
‏※ 目的地は‍出発72時間前にメール・アプリ‌で通知
※ 座席‍クラ​ス‎はラ​ンダム‏抽選(エコノミー/ビジネス​)
※ 交換後のキャンセ‍ル・変更は不可‍
※‍ 有効期限:交換‎日から6ヶ‍月以内
※ ご予約完了後、「予約内容の確認」の「サービス」→‏「確認」からお申込みください。

■ お得情報:通常のマイル交‎換で​は15,000〜25,000マイル必要な国内往復航空券が、この特別プログラムでは10,000マイ​ルで交換可‏能です!

‏ANA(全日‏‌本​空輸‍株式会社)
このメール‏は送信専用です​。​ご返信‎いた‌だけません。


↑↑↑↑↑↑
本文ここまで



いやいや、これはアカンやつでしょ。
10,000マイルで日​本全国43都‍市への往復航空券に交換できるって、こんな期待感を刺激するメールってヤバすぎます!
それに目的地は‍システム‍が自動選択するってワクワク感しかありません!
更には運が良けれ‌ば追加マイル無しでビジ‍ネスクラスにアップグレードだって!

あはは、なぁ~んて甘いお話はありませんよね(笑)
もちろん全部ウソです。


件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。


メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『anamail060.salon188.com』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。

もうお分かりですよね?
そうです、
ANA が利用するメールアドレスのドメインは『ana.co.jp』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。


Received:  from anamail060.salon188.com (unknown [103.61.37.85])


ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません

では、試しにドメイン『anamail060.salon188.com』に関する詳しい情報を『Grupo』さんで取得してみます。

この情報が正しければ、このドメインの取得者は東京の方のようですが、以降の住所が中国っぽいのででたらめな住所を使って申請したようです。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、香港付近です。

最近この辺りは、怪しいメール発信地のトレンドです。


 

リンク先のドメインを確認

さて、本文に直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://anaiona.nipponeemail.com/login】(あまりに長いので割愛しました)
(直リンク防止のため一部の文字を変更してあります)
これまた ANA のドメインとは異なるものが利用されていますね。

先程と同様にこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。

この情報が正しければ、このドメインの取得者の所在地は日本ですが、それ以外はプロテクトされていて見ることはできません。

割当てているIPアドレスは『104.21.82.39』
IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここにお客様番号とパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページでこのように、本人確認と称し更にクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

本人確認をクレジットカードで行うって詐欺メールらしいですよね。
普通ならメール認証とかSMSの認証コードで行うと思うのですが…


まとめ

ANAが、自社のものではないドメインを使ったメールアドレスで香港からユーザーにメールを送り、カナダのトロント市庁舎付近に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいです!

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;