『詐欺メール』Appleから「支払いの問題でApple IDがロックされました」と、来た件

なぜ”twitter.com”を選んだ？

この件名のメールは今までにも何度か受け取っててエントリーも書いていますが、
なぜか毎回内容が違うんです。

今回もまた以前のものとは違って画像もなく味気ないあっさりとしたもので
少々片言の日本語のヤツです。

このメールは、既に退社したOBスタッフ宛に送られてきたものでサーバー内で迷子になって
いました。

件名は「[spam] 支払いの問題でApple IDがロックされました。【警告】」
[spam] は、うちの受信サーバーからの警告で悪意のあるメールだと判断された証拠。

差出人は「”Apple Pay” <info@twitter.com>」
もちろんこのアドレスは嘘。
なぜ”Apple Pay”と名乗っておきながら ”twitter”のドメインってどうよ(笑)
奴らはどうせ嘘なんだから何でも良い考えたのか、それとも愉快犯なんでしょうのか？

「親愛なる」から始まるメール

私、「親愛なる…」から始まるメールでろくなメール見たことないんですけど、皆さんは
どうでしょうか？

たいていの場合こういった書き出しのメールって翻訳されたものが多いと思います。
その証拠に「あなたのアカウントに関する以下の情報*****@*****.***かわった。」って
全然意味わかんないでしょ？(笑)
それにしてもこんな短いメールの本文で”あなた”って言葉何度出てくるんだろう？(爆笑)

文末の著作権のところ、まだ2020年なんですけどもう2021年になってるし…
クリスマスもまだなのに…もう少し2020年の余韻を楽しみましょうよ♪

怪しいメールはヘッダーを見ろ！

では、このメールもいつものように少し詳しく見ていきましょうか。

まずは、メールのヘッダーソースを開きます。
そして”Return-Path”ってところを見てみるとこのような記載が。

これ、エラー時に返信させるためのアドレスなんですが、当然のことながら
”info@twitter.com”とは似ても似つかぬアドレスになっています。
もっとも、これも嘘の可能性大ですが(汗)

ね、使われてないでしょ(笑)

今度は、ヘッダー内に記載されている差出人の”Received”フィールドを確認します。

「googleusercontent.com. [35.234.46.209]」辺りが差出人の送信サーバーの情報。
「googleusercontent」ってドメインなのでGoogleのウェブアプリから送信されたメール
なのでしょうか？

Appleを名乗りながら、メールアドレスは”twitter”で、使ったメールソフトは”google”って
私はあきれてものが言えません…(^^;

このために用意したドメイン

本文中の「ここでアカウントを確認してください」ってところが詐欺サイトへのリンク。

つないでみると、案の定Appleの完コピサイトへつながりました。

リンクアドレスは「」から始まるURLですが
実際にはリダイレクトされて以下のような全然違う長ったらしいURLにつながりこのページが
表示されます。
「」

この両方のドメインについて調べてみると。
これがメールにくっついてたURLのドメイン。

そしてこちらがリダイレクトされたページのURLあったドメイン。

どちらもパナマにある全く同じ企業が持ち主で使われてるのはアメリカ。

よーく見ると、どちらのドメインも取得したばかりで単年契約。
この犯罪のためだけに取得したんでしょうね…
しかし、”com”ドメインなんて金かけてますね(笑)

「親愛なる」から始まるクソメールなんて誰も信じないとは思いますが、現在も詐欺サイトは
稼働中で危険なので注意してください。