『詐欺メール』「 MyEtherWallet［重要なお知らせ］ 」と、来た件

どこで見つけてきたのかこのアドレスを

しばらく大人しかったブラックメールでしたが、また新たな刺客が登場しましたので
ご報告させていただきます。

これはサーバーの迷子メールにあったものですが、適当なアドレスをランダムに作成し
無差別に送っているんでしょうか。
宛先は閉鎖したアカウントとかじゃなく過去に全く実在しないメールアドレスに届いたもの。

中身は実際する仮想通貨システムの「MyEtherWallet(マイイーサウォレット)」を騙った
フィッシング詐欺メールで、アマゾンや楽天などを騙ったものと同様にアカウントに不正
ログインがあったと不安のあおり詐欺サイトにログインさせアカウント情報を盗み取ろうと
するものです。

ワードサラダも発見

このメールの件名は「[spam] MyEtherWallet［重要なお知らせ］」となっており
サーバーの解析で詐欺メールと判定され、件名の頭に[spam]とスタンプが押されています。

差出人は「”【MyEtherWallet】” <accountadmin@myethrewallet.com>」
実際の「MyEtherWallet」で使われている正規ドメインは”myetherwallet.com”なので
騙されそうですが、もちろんこの差出人メールアドレスは偽装されています。

メールのソースを表示させて確認してみると、”Received”フィールドにこのような記述が
ありました。
「Received: from emhmwgkp.net (unknown [171.90.219.62])」
これは差出人が使ったメールの送信サーバーが刻んだ自局情報で、数字の羅列がその
IPアドレス。
それに”emhmwgkp.net ”なんてドメインも見えています。

では、いつものようにこのIPアドレスを追跡してみます。
すると中国の奥地で四川省の成都市にほど近い街であることが判明しました。

このメールにはもう一つ詐欺メールである証拠が隠されています。
それはワードサラダと呼ばれるテクニックで、サーバーの詐欺メール解析ツールを通過
させようとする手法。
先ほどのメールの表示をHTMLからテキスト表示に変更してみると。。。

ね、意味の分からないアルファベットがいっぱい書いてありますよね。
これでサーバーの機能を混乱させてしまおうとする試みです。
これは悪意を持って行うものですからワードサラダのあるメールは詐欺メール確定です。

詐欺サイトは香港で運営されている

こういった詐欺メールに詐欺をはたらくサイトへのURLがリンクされています。
このメールには直にURLが書かれていますね

使われているドメインは「myetherwallet.comio.cc」
これも先と同じように追跡してみるとこのような情報が取得できました。

殆どが”REDACTED FOR PRIVACY”となってプライバシー保護でマスク状態になっていますが
”Registrant City: Chengdu”となっいていますので、取得申請は中国の成都市から行われた
ことが分かります。
単なる偶然でしょうか、さっきの送信サーバーIPアドレスともつながってそうですね。

この調査結果から、リンク先のウェブサイトは香港にあるサーバーで運営されていることも
分かりましたね。

確認してみたところ、ウイルスバスターに2度ほど遮断されましたがウェブサイトは
現在も健在でした。

ただしサイトは英語で、言語の選択は配置されていますが実際には動きませんでした。
私はもちろん「MyEtherWallet」のユーザーじゃありませんので騙されたりしませんが
たとえばもしこのメールの受信者が「MyEtherWallet」のユーザーでウィルスバスターなど
セキュリティーを施してない方だとしたらコロッと騙されてしまうかも知れませんね。

こういったメールは鵜呑みにせず、必ず差出人の情報を調べ把握した上で適切に判断する
事が大切です。