『迷惑メール』「MyEtherWallet［重要なお知らせ］」と来た件

差出人情報の確認

まず、「差出人：support_jp@myetherwallet.com」
メールのヘッダー情報を確認したところ、アドレスは偽装されています。
実際のメールアドレスは「locos@rbwqwm.org」

続いて「件名：MyEtherWallet［重要なお知らせ］」

既に「詐欺メール」判定されているので、「件名」の前に「spam」の表示が
そしてメーラーの中段に警告メッセージが出されています。

文中に暗号が隠されている？！

さて本文です。
本文中、何か所々変なスペースがあるのに気づきません？
例えば「MyEtherWalletをご利用いた だきありがとうございますが、」
末尾の「が」もおかしいのですが、「ご利用いた だき」の「た」と「だ」の間に
無意味なスペースがあります。
そしてよく見ると、他にも文中に何カ所かおかしなスペースが…

それに、スペースじゃない目に見えない部分にも何か隠されてます。
例えば文頭の「MyEtherWallet」を選択してコピペすると

「MyEthe9efp0o9pjzmrWallet」

このようにあるはずの無い”9efp0o9pjzm”という文字が”e”とr”の間に隠されています。
また、例の「ご利用いた だき」もコピペすると

「ご利用いたen5ndsbfbyf だき」

となります。

なに？なに？
何かの「暗号」か？！

手持ちのエディターに貼り付けてみると…

(全角文字だけ赤で塗りつぶしています)

全角文字だけ削除してみると…

なんでしょう？
凡人には全く理解できましぇ～ん(;´Д｀)

暗号じゃなく「ワードサラダ」だった

実はコレ「ワードサラダ」と呼ばれる手法。
支離滅裂な言葉を並べたり、途中に隠し文字を入れたりして様々なフィルターを
回避し通過させる方法です。
例えば、このメールの場合は、途中に隠し文字や無意味なスペースを入れることで
「スパムフィルター」を通過させようとするもの。

残念ながら、しっかり「スパムフィルター」に引っ掛かっていますが(笑)

でも、知らない人が見たら「何かの暗号」かと思って気持ち悪くなりますよね！

「MyEtherWalletをご利用いた だきありがとうございますが、」の末尾の「が」
って、まさかこれも「ワードサラダ」ってこと？　ご冗談を…( ﾟ∀ﾟ)ｱﾊﾊ

リンク先は対処済み

このメールで一番危険なのは、中央のリンク。
迷惑メールのリンクは絶対にクリックしないでください！

クリックするとこういったメッセージが表示され、この先の危険を警告されます。

また、接続するとセキュリティーソフトでも警告されました。

その先は？

警告を無視してその先へ向かうと…
(※ご覧の皆さんは絶対に接続しないでください！)

「ttp://www.myethnerwallet.org/」へ接続されました。
(頭文字”h”は被リンク化のため伏せ文字にしてあります)
ドメインが取れなかったのか、スペルの途中に”n”が入ってておかしいし(笑)
プロトコルが”http”。
仮想通過を扱うサイトならSSL化済みで”https”なはず、”http”なわけがないっす！

んでもって、実際の「MyEtherWallet」サイトURLはこちら
「ttps://www.myetherwallet.com/」
「.com」だし…

このなんちゃって偽ページの中央にある入力欄。
ここにパスワードを入力させて詐欺サイトに誘導し個人情報を盗み取る手口です。
因みに、このページに配置されているその他のリンクは全て本家サイトに接続される
仕組みになっていました。

IPアドレスによる調査

では、「Magonote-tools」さんの「IPアドレス・ドメインの持ち主を調査」で。
ヘッダーから取得した情報で調査しますが、今回はメールアドレスのドメイン
「myethnerwallet.org」でも検索。

まずは「myethnerwallet.org」
……
……

アメリカアリゾナ州でした。

引続きメールヘッダーの送信元IPアドレスから検索
……
……

こちらは中国遼寧省です。
いつも書きますが、この位置情報はアジトではなくあくまで送信したメールサーバーの
設置場所です。

迷惑メールセンターへ通報

では、最後に受け取った「迷惑メール」を「迷惑メール相談センター情報提供ページ」にある
メールアドレス(meiwaku@dekyo.or.jp)宛に「ヘッダーをすべて表示させた」状態で転送します。
はい、お疲れ様でした　(^^♪