『詐欺メール』「19 July 2021」と、来た件

あっ[spam]付いてない！

ハッと気が付きゃスパムメール500エントリーへカウントダウンが始まってた(^-^;
今回のエントリーで492なんで後8つです。

さて、今回ご紹介するのは、なんとも世にも不思議なメール。

どうやら差出人に「JCB」とあるのでJCBを騙ったフィッシング詐欺メールのようです。

件名
「19 July 2021」
今日が7月20日なので昨日の日付を件名にしていますが、さっぱり意味が解りません。
ああ、このメールの件名に”[spam]”スタンプ付けられていない！(汗)
このメール、うちのサーバーに設置されたセキュリティー装置のスパムフィルターを
すり抜けてきてる！
後で見てみますが、これ、きっとワードサラダありますよ！

差出人
「JCB <info@newsletterjcb.com>」
JCBと書かれていますが、ドメインが”newsletterjcb.com”…
JCBの正規ドメインは”jcb.co.jp”ですから全くし異なるドメインが使われていますね。
なのでこのメールは正規JCBから送られてきたものとは違うと断定できます。
因みにこの”newsletterjcb.com”ってドメインは実際にアメリカで運用されていました。

発信元サーバーを確認するため、メールのヘッダーソースにある”Received”フィールドを
確認してみました。
それがこちらです。

”amazonaws.com”と書かれていますね。
これはAmazonが運営するウェブサービスです。
差出人はここを利用したメールサーバーを介して私にメールを送り付けたようです。

やはりありました”ワードサラダ”

さて、ここでワードサラダの確認。
ワードサラダについては、うちのサイトでも何度かご紹介していますが、ワードサラダとは
悪意のあるメールをサーバーに施されたスパムフィルターと呼ばれるセキュリティー装置に
反応されることなく通過させるために、意味のない文字列や記号を配しそのフィルターを
混乱させることで通過させようとする試みです。
うちのサーバーの場合、フィルターが反応すると、件名の頭に”[spam]”とスパムスタンプが
押され送信されます。

このメール、先に書いたようにスパムフィルターによって付けられるスパムスタンプが件名に
付加されていませんでした。
でも、文面や件名は見るからに怪しいもの。
もしやと思ってHTML形式なメールをTEXT形式に表示を切り替えてみました。
するとこのような文字があぶり出しのように浮き上がってきました。
そう、これがワードサラダです。

ね、やっぱりあったでしょ？！
まんまとこれでサーバーのフィルターが誤動作してしまったんです。

クロアチアからアメリカへ

では、本文。

なにが”良い1日”だよ！
こっちはこんなメール送られて全然良くありません！

「読んだ」と書かれている部分に詐欺サイトへのリンクが付けられています。
そのURLがこちらです。

「.hr」はクロアチアのトップレベルドメインです。
このドメインについて調べてみましょう！

ドメインの申請もそのドメインに割当てられてるIPアドレスの所在もクロアチア共和国の
首都ザグレブと出ています。
ですから、リンク先に詐欺サイトはザグレブで運営されているということになります。

因みにこのサイトへ接続してみると…

どーも「良い1日」ってのがお好きなようですね(笑)

よく見るとこの中にもリンクが配されていますね。
そのURLはこちらです。

これにも繋いでみます。

既に対処済みのようで、セキュリティーで完全にブロックされていました。

ついでなのでこの”split.to”ってドメインも同じように調べてみます。

今度はアメリカバージニア州アッシュバーンって街が表示されました。
先程の接続できなかったサイドはここで運営されているようですね。

まとめ

ワードサラダがあっても大半がフィルターに引っかかるんですが、久しぶりにスパムスタンプ
の無いフィッシング詐欺メールが届きました。
このような幼稚な内容なのですぐにそれ系のメールだと判断できましたが、もっと巧妙な
メールだとコロっと騙されてしまうかもしれませんね、要注意です！