『詐欺メール』「ご利用のMyEtherWalletアカウント:メールアドレスの確認身分証で本人確認を実行」と、来た件

またもや「MyEtherWallet」になりすました詐欺メールです。
最近多いですねぇ…

でも今回は「トークンがもらえる」って内容じゃなくて不正ログインなどアカウントの
異常操作を警告する内容となっています。

そのメールのプロパティーがこちら。

件名は「[spam] 『ご利用のMyEtherWalletアカウント:メールアドレスの確認身分証で本人確認を実行』」
[spam]はいつも言うようにうちのサーバーがこのメールを迷惑メールと判断したために
付加されたスパムスタンプ。

差出人は「MyEtherWallet <noreplyjp@myetherwalle.com>」
確かに”MyEtherWallet”の正規ドメインは”myetherwalle.com”ですがこの差出人部分は
簡単に偽装できるので信じちゃいけません！　ウソに決まっています！！

上の画像は、このメールのヘッダーソースの一部。
”Received”ってところは差出人が利用したメールの送信サーバーの情報ですが、ここを見ると
「from suabxvac.net (unknown [171.94.237.127])」なんて記載されています。ブロックエディターに切り替え
ここはメールサーバーが自動で刻む情報なので基本的に偽装はできない場所。
ここに書かれてる”suabxvac.net”と”171.94.237.127”はそのサーバードメインとIPアドレス。
このIPアドレスを調べてみると中華人民共和国と出ました。

ということは差出人は中国にあるサーバーからメールを配信したということになりますね。
まっ、本文の文面見りゃ大方の予想はつきますけどね(笑)

文章にところどころおかしな部分が

じゃその文面を見ていきましょう。

気になる箇所に赤枠を入れておきました。
上から見ていくことにします。

 「MyEterWalletをご利用いただきありがとうございますが」

ここに助詞の”が”は必要ありません(笑)
ここ見ただけで日本の人じゃないことが分かります(^^;

次に意味不明な半角スペース。
賢明なオーディエンスの方ならもうお分かりですよね！
そう、ここに隠されているのは「ワードサラダ」です。
「ワードサラダ」はうちのサイトでも何度か紹介していますので詳しい説明はリンクを
ご参照ください。
簡単に言えばセキュリティー突破手法です。
下の図をご覧ください。

これはHTMLで表示されてた先ほどのメール本文をテキスト表示に切替えてきたところです。
HTMLでは見えませんでしたが言葉と言葉の間に意味不明な文字をはめ込んでいますよね。
これでサーバーのセキュリティを混乱させてスパムフィルタを突破しようとしたのですが
見事に見破られてしまい、件名の頭に[spam]ってスタンプ押されています(笑)

そして決定的な箇所は文末の「コントともよろしくお願い致します。」って部分。
コント？…
お願いされても、私コントはできません(爆)
これで疑惑が確定に代わりましたね、差出人は日本語に不慣れな人物またはグループです。

リンクURLも偽装されてます

さて、私が一番気になる部分は詐欺サイトのURL。
こういったフィッシング詐欺メールのほとんどにはこのように詐欺サイトへのリンクが
付けられています。
このメールだとこの部分。

つないでみると…

メールソフトから警告がありました。
どうやら本文に記載されているURLと実際のリンク先に相違があるのとのこと。

実際に接続されたリンク先のURLはこちらでした。

つながったのは例によって完コピ偽サイトです。

このサイトのURLを使ってドメインの情報を確認してみました。

”割り当て国”は出ていませんが、ドメイン登録を見ると”CN”と”Bei Jing Shi”が見えるので
中国の北京ってことになりますね。
しかしそれ以外はすべて”REDACTED FOR PRIVACY”となってて保護されています。

最近急に増えてきた「MyEtherWallet」を騙ったなりすましフィッシング詐欺メール。
逆にAmazonや楽天を騙った詐欺メールが少なくなったような気がするので、犯人は
鞍替えしたんでしょうか？
犯人も少し目先を変えることで対象が増えるとでも思っているんでしょうが、残念ながら
この日本語力ではねぇ…(笑)