『詐欺メール』「5000個のChilizトークンを受け取ることができます」と、来た件

サンデーモーニング♪

珍しく日曜の朝からこんなの書いています(笑)

また「仮想通貨」プロバイダーに成りすましたフィッシング詐欺メールです。

件名は「[spam] 5000個のChilizトークンを受け取ることができます。」
トークンプレゼントをおとりにしたいつもの手口なんですがね。

差出人は「Chiliz $CHZ <contacts@chiliz.io>」
Chiliz/CHZはチリーズと読むらしいです…
もちろん偽装ですね！
ところでチリーズって何だろうかと思い調べてみるとこのようなことらしいです。

スポーツ選手や団体と連携した仮想通貨ってことでしょうか？
それでメールに付けられてる画像がサッカーなんですね！
まぁ成りすましなのでどーでも良いことですが、私にはよく解りません。。。^^;

上の図はこのメールのヘッダーソース。
エラーメールの自動返信先は”Return-Path”フィールドに書かれてるアドレス。
ここも差出人と同じ”contacts@chiliz.io”って書かれていますね。
でも、ここも簡単に偽装できますの信用できません！

いつも通り下のほうに目をやって”Received”フィールドを確認します。
これは差出人が使った送信メールサーバーが自動で書き込んだ情報です。
ここにはそのサーバーのドメインやIPアドレスなど重要な情報が書き込まれています。

これを見ると、「xfvrmjgvo.org」なんてメールアドレスと全く関係の無いドメインが
記載されています。
このドメインとここに書かれてるIPアドレスを調査してみます。

まずはドメインの方。

どうやら存在しないドメインのようですね^^;

続いてIPアドレス。

と言うことは、このメールは中国にあるサーバーを使って送られてきたってことになりますね。

リンク偽装されています

この手のメールには必ずフィッシング詐欺を行うサイトへ誘導するリンクが存在します。
このメールで言うとここがそのこの箇所。

平然と「myetherwallet.com」なんてドメイン使っていますが、こんなの大ウソです！
このリンク文字にカーソルを合わせるとこのような別のリンク先URLがポップアップ
されます。

偽装です！！
それにしてもなんすかこの”myetherwalletr.vip”なんて危険なドメイン。
”.vip”は格安使い捨てドメインですから…(汗)

このドメインもいつものように所有者と所在地を調べましょう♪

割り当て国は空白になっています。
何かの手段で特定できなくしてあるんでしょう。
そしてドメインの申請情報はと見てみると、、、かろうじて中国の北京から申請されている
ことは解りますがそれ以外は全て「REDACTED FOR PRIVACY」と表示されプライバシー
保護されていました。

このメール、もう一つ特徴がありました。
HTMLにて構成されているメールをテキスト表示に切り替えてみたところ
ワードサラダが浮かび上がってきました！
(見難かったので手持ちのエディタに貼り付けてみました)

この前半と後半にある訳の解らない文字列がそのワードサラダ。
詳しくは書きませんが、このワードサラダは意味のない文字を羅列しサーバーのセキュリティ
を混乱させてスパムフィルターを通過させようとする手段。
でも、うちの強固なサーバーはしっかり阻止しメールの件名文頭に[spam]とスタンプを
押し警告してくれています。

このような少数しかいないであろうユーザーを標的としたフィッシング詐欺メールは
本当に詐欺を目的をしているのでしょうか？
どう見ても愉快犯としか思えないのですが…