『詐欺メール』「MyEtherWallet［重要なお知らせ］」と、来た件

仮想通貨人口ってそんなに多いの？

久しぶりにこの件名のメールが届きました。

「MyEtherWallet［重要なお知らせ］」

はい、これはMyEtherWalletって仮想通貨のユーザーを狙ったフィッシング詐欺メール。

文面は違うもののアプローチの方法は以前のモノと同じで、ユーザーを煽って偽サイトに
誘導しアカウント情報を詐取し詐欺を行うものです。

このMyEtherWalletって仮想通貨を装った詐欺メールってかなり多いんですが、この利用人口
ってそんなに多いんでしょうかね？
私、そんな仮想通貨に手を付けてないんで、こんなメール送られても全く心配ないんですが。

中国四川省からのメール

差出人は「”MyEtherWallet | MEW” <info@myetherwallet.com>」
もちろん実在するアドレスでもっともらしいメールアドレスが記載されていますが、
こんなの偽装、嘘に決まっています。
メールのヘッダーソースにある差出人側の”Received”にはこのように記載されています。

ここに書かれている4つのセグメントに分かれた数字の羅列が、差出人の利用した
メールサーバーのIPアドレスです。
このIPアドレスは世界に1つしかないので位置の特定が可能なんです。
では、早速調べてみます。

結果は、中国四川省。
ここにあるサーバーから送られてきたものでした。

偽装リンクとワードサラダ

本文はって言ってもあれだけの文章しかありません。

先程の”中国四川省”ってことを念頭にして読むと、何となく怪しい日本語でしょ？
「ウェブページで検証してお願いします」とか…(笑)

「秘密鍵の認証： https://www.myetherwallet.com/」と書かれているところが詐欺サイトへ
つながるリンクになります。
文面は　”https://www.myetherwallet.com/”　なんて書かれていますが、実際には
”https://www.myetherwalleto.vip/”って何とも怪しい”.vip”なんてドメインのサイトへ
つながるよう偽装が仕組まれていました。

この”myetherwalleto.vip”ってドメインも取得情報など検索することができます。

ほぼプライバシーで保護されていますが、中国北京市から登録されたことが辛うじて
分かりますね。

そしてこのメールにはもう一つポイントがあります。
下の図を見てください。

これはHTML形式で書かれていたメールをTEXT表示に切り替えたものです。
分の途中におかしなアルファベットと数字の羅列がいくつかありますよね。
これは”ワードサラダ”と呼ばれるセキュリティー突破法。
メールサーバーのには迷惑メールを判断するためにスパムフィルターと呼ばれるシステムが
組み込まれているものが多くあります。
うちの利用しているサーバーにもそれが設置されていて、そのフィルターを通過させるために
解読不能な意味の解らない文字列を描いてそのフィルターを何とか通過させようとしたのです。
メール件名の頭に[spam]と付けられたスパムスタンプが表わしてるように、結果、このメールは
しっかりスパムフィルターに引っ掛ってしまってます(笑)

”MyEtherWallet”絡みって最近よく見かけるフィッシング詐欺メールは
「ログインするだけでトークンをプレゼント」
ってのが多いのですが、この中に紛れ込んで以前からあったこのメールがいつの間にか
復活してきたようですね。
ちょっとのぞいたところ、完コピ詐欺サイトは現在も運用中でしたのでご用心を。