『詐欺メール』MyEtherWalletから「ログインすると、CHZ【トークン】を20,000枚受け取ることができます」と、来た件

heart

4年前

長い件名ですこと…

！ご注意！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。
このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください！
リンクは当該サイトを装った偽サイトへ誘導で、最悪の場合、詐欺被害に遭う可能性があります。
ですから絶対にクリックしないでください！
どうしても気になると言う方は、ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするように心掛けてください！

アカウントをブロックされたんじゃなかったっけ？

再び「MyEtherWallet」を騙るフィッシング詐欺メールが届きました。
先日のエントリーは「不正ログインでアカウントが凍結してるから解除しろ」って内容でした。

『詐欺メール』MyEtherWalletから「Your account is blocked」と、来た件

英語で送られてもねぇ... ！ご注意！当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください！リンクは当該サイトを装った偽...

で、今回は「ログインすると、20000個のCHZトークンを受け取ることができます」と..

あれれ？
アカウント凍結されてたんじゃなかったっけ？？(笑)

もちろんこのメールは詐欺メール。
だいたい私、仮想通貨なんて使ってないしね(笑)

CHZって何？トークンって何？

こちらがそのメール。

このメールのプロパティー部分を拡大してみるとこんな感じです。

差出人は「【MyEtherWallet】 <noreply@myetherwallet.com>」
”myetherwallet.com”は「MyEtherWallet」の正規ドメインですが、この差出人の項目は
差出人側で誰でも簡単に偽装できるので信用できません。
それが証拠に、プロパティー内にある”Message-ID”ってフィールドを見ると
「<360370DFD769D5F012E00F238138D43F@js.net>」にあるように”js.net”なんて
全然違うドメインが見えてます。
本来この部分は、差出人のドメインと同じであるはずなので嘘がバレバレ。(笑)

件名は「[spam] MyEtherWalletアカウントにログインすると、CHZ【トークン】を20,000枚受け取ることができます。」
1行で納まりきれませんね(笑)
私のように仮想通貨知らないものからすると「CHZ【トークン】」って何？って話…
早速調べてみると「トークンの購入に唯一使用できるデジタル通貨」だって…
アハハ…「トークン」って何よ？って話から始まります(笑)
どうやら「トークン」ってのは「仮想通貨」自体のことらしいわ(^▽^;)
要は、ログインするだけで自動的にそのトークンとやらを20,000枚貰えるってことらしい。
フィッシング詐欺とはよく言ったもので、こりゃ完全「釣り」ですな(笑)

あっ、ご承知とは思いますが、先頭にある[spam]は「このメールは詐欺メールですよ」という
警告でメールの受信サーバーが出す「スパムスタンプ」と呼ばれるものです。

本文を検証

続いて本文を確認してみます。

MyEtherWalletアカウントにログインすると、20000個のCHZトークンを受け取ることができます。

myetherwalletのユーザーではない場合は、myetherrwalletに参加してください。
暗号通貨に関する知識を解説してあげます。

件名と同じことが書かれてた後、ユーザーの勧誘のような文章と「解説してあげます」って

おいおい、偉そうにけっこう上からきたなぁ…
大きなお世話ってやつだわ！(汗)

↑これ何かって？
これはメールの本文をHTMLって表示形式からプレーンテキストって文字だけの表示に
切り替えてみたところのスクショです。
先頭行と最終行に意味不明なおかしな文字列が並んでて違和感がありますよね？
これ、うちのサイトでよく取り上げてる「ワードサラダ」って手法で、このような意味不明な
もじを並べて受信サーバーのセキュリティーシステムを混乱させて迷惑メールフィルターを
通過させようとする試みなんです。
でも、件名の[spam]が示すようにしっかり見破られてますけど(笑)

それにこのプレーンテキスト表示に切り替えてもう1つ分かることがあります。
以下は目に見えてるURLに記載されてるドメインと、実際のリンク先URLのドメインです。

myetherwallet.com
myetherwalleti.cc

上段に書かれてる”.com”ってのは本分に見えてるURLで「正規MyeEtherWallet」の
ドメインが使われています。
その下にある”.cc”ってドメインは実際に接続されるサイトのURLですので偽装されている
ことが分かります。
「myetherwalleti」って”i”入れて…　ウォレッティ(笑)

実際にメールにあるリンク文字をクリックしてみると。(危険を伴うので自己判断で)

ほらね…(汗)

メールは中国発信

では、”myetherwalleti.cc”ってドメインを調査してみます。

ドメインの申請者情報は見事にプライバシー保護のためマスクされてます(汗)

あっ、そういえばメールの差出人が使ったサーバーの情報を調査してなかったわ…
ってことであらためて調査！

こちらがこのメールのヘッダーの一部。
”Received”ってところが差出人が使った送信サーバーが残した情報。

「Received: from js.net (unknown [139.211.230.137])」

ここにも”js.net”ってドメインが見えていますが本当なんでしょうか…
そして”139.211.230.137”ってのがそのメールサーバーのIPアドレス。
これもとあるサイトで検索してみます。

この情報が本当ならば、この差出人が使った送信メールサーバ
そしてこのIPアドレスに割り当てられてるドメインは”adsl-pool.jlccptt.net.cn”
”js.net”じゃありませんでしたね。

調べたところ、詐欺サイトは現在も稼働していました。

「MyEtherWallet」って正規サイトへ行ってみると閲覧できる言語が英語とロシア語。
このような日本語が使えない仮想通貨をどれだけの日本人が使ってるかって話です。
だから誰もこのようなメールに騙されないと思いますよ。
まっ、でも用心するに越したことありませんでのご注意ください。

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)