『詐欺メール』『当たるかも クリスマス大抽選会 開催中』と、来た件
★詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
どこの誰から送られてきたのか分からない怪しいメールが時々送られてきます。
詐欺メールなら詐欺メールらしくちゃんと誰に扮しているのかを明記すればよいのに。
折しも今日はクリスマス🎄
そんなクリスマスに水を差すような怪しく危険なメールのご紹介となります。
さて、誰に扮しどのような仕掛けを持ったメールなのかを今回も詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 当たるかも クリスマス大抽選会 開催中
送信者: “qoflkqlgmvt@icloud.com" <ccfarzkcymdly@icloud.com>
今年のクリスマス、あなたに嬉しいサプライズをご用意しました🎁
参加無料のクリスマスプレゼント大抽選会を開催中! ちょっとした運試しで、素敵なプレゼントが当たるチャンスです。
期間限定の特別企画となりますので、 この機会をお見逃しなくご参加ください。
※抽選内容・当選条件は会場ページをご確認ください
📱 お得情報をLINEで受け取る
今後のキャンペーンや限定情報をいち早くお届け!
このメールはキャンペーン情報として配信されています。
クリスマスの特別企画をぜひお楽しみください。
📣 メルマガ内の広告掲載、企業様募集中
↑↑↑↑↑↑
本文ここまで
この文面だけじゃ、どこを騙っているのかさっぱり分かりませんが、これはかなり詐欺・フィッシングの可能性が高いメールです。
では理由を整理していきますね。
- 送信元アドレスが不自然。
送信者のドメインが「icloud.com」になっていますが、大手の公式キャンペーンであれば独自の企業ドメイン(例:@amazon.co.jp や @rakuten.co.jp など)から送られるのが一般的です。
また、英数字の羅列(qoflkqlgmvt)もランダムドメインで典型的な使い捨てアドレスで詐欺メールの特徴です。 - 運営元の情報が一切ない
会社名、所在地、問い合わせ先、特定商取引法表記がないなんて正規キャンペーンではまずあり得ません - LINE登録への誘導
不審なアカウントをLINE登録させ、個人情報を抜き取ったり、さらに別の詐欺サイトへ誘導したりする手法が現在流行しています。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダーソースを調査
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from 185-132-179-72.hosted-by-worldstream.net (185-132-179-53.hosted-by-worldstream.net [185.132.179.53])
本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる「hosted-by-worldstream.net」なんてドメインが記載されていますね。
もうこの時点でこのメールのメールアドレス偽装は確定!
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、オランダの Naaldwijk です付近です。
この IP は オランダのデータセンター運営会社 WorldStream B.V. の設備内にあるサーバーのものです。
これらの結果からこのメールは、WorldStream B.V.のサーバーを利用して送られてきたということになります。
リンク先のドメインを確認
さて、本文の「抽選会場はこちら」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://card-ec.xyz/】
(直リンク防止のため一部の文字を変更してあります)
このドメインに関する詳しい情報を「Grupo」さんで取得してみます。
「Registrant Organization」には「Privacy service provided by Withheld for Privacy ehf」と記載されています。
これは、米国のドメインレジストラ「Withheld for Privacy ehf」が提供するドメインプライバシー保護サービスで、このサービスを利用すると、ドメインの登録者の各種情報(名前、住所、電話番号、メールアドレスなど)が公開されるのを防ぐため、その代わりにこのように、Withheld for Privacy ehf の情報が表示され、スパムや不正アクセスからの保護が強化することができます。
半面最近は、このサービスが藪蛇(やぶへび)になりこういったサイバー犯罪の温床とされることが多く見られます。
割当てているIPアドレスは「172.67.154.202」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
これは魔改造を施したB-CASカードの闇販売サイトです。
当然改造されたB-CASカードを利用するのは、不正競争防止法・著作権法違反で購入者側も違法行為に関与するリスクがあります。
ですから、このような闇サイトでカードなど絶対に購入しないでください!
まとめ
今回はいつもの怪しいメールとはちょっと指向の異なるメールで、海外ホスティング+WHOIS秘匿を利用した完全に「闇サイトの典型構成」 でした。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;