サイトアイコン HEARTLAND

『詐欺メール』「ヨドバシ・ドット・コム:アカウントでお支払い方法を更新する必要があります」と、来た件

犯人は、結局何がしたいんだろうか?
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

ヨドバシドットコムを騙る

今朝は、サーバーで迷子メールになっていたフィッシング詐欺メールをご紹介します。
これは既に退社したスタッフ宛に届いていたもの。

では、詳しく見ていきましょう!

件名
「ヨドバシ・ドット・コム:アカウントでお支払い方法を更新する必要があります」
危ない危ない、珍しく”[spam]”ってスパムスタンプ付いていませんね…(汗)

差出人
「”ヨドバシドットコム” <support@miaoxichen.cf>」
図にも書きましたが、”.cf”は中央アフリカに割当てられたトップレベルドメインです。
国内の有名な家電屋さんが中央アフリカのドメインを使いますかね?(笑)

怪しいので、メールのヘッダーソースも確認してみました。
確認したのは、通過したサーバーが自身で書き込む”Received”フィールド。
ここは通過したサーバーのホスト情報が書き込まれる部分。
そこにはこのように書かれていました。

Received: from miaoxichen.cf (miaoxichen.cf [205.185.118.213])

末尾の数字がそのサーバーのIPアドレスになります。
これはこのIPアドレスを元に調べた結果です。

この結果メールアドレスに使われていた”miaoxichen.cf”ってドメインは、”Received”にある
IPアドレスに割当てられていることが分かりました。
なのでこの差出人は、偽装することなく自身のメールアドレスを使ってヨドバシに成りすまし
メールを配信したことになります。

そして、このIPアドレスは現在アメリカカリフォルニア州ラスベガスで使われていることも
分かりました。
これは差出人が利用したメールサーバーがラスベガスにあることを意味します。


コピーサイトと思ったら?!

では、本文。

■■お支払い方法を更新するのご連絡■■ ←少しおかしな日本語
(このメールは、配信専用のアドレスで配信されています)

お客 様

ヨドバシドットコムをご利用いただきありがとうございます。

システムの更新に伴い、ヨドバシドットコムアカウントの支払い方法を更新して、確認情報を取得できませんでした。

アカウントは自動的に削除されることに注意してください。

【ご会員ID】
———————————————————–
・会員ID : ****@******.***
———————————————————–

 

▼お支払い方法を更新してください

ご利用確認はこちら

「お支払い方法を更新するご連絡」から始まる本文。
最初っからやっちゃってます…(笑)
この”の”って要りませんよね?!(笑)

その他にも怪しい表現が見受けられますが…(汗)

内容は、システム更新に伴って記載されたリンクからアカウント情報を更新しろって
感じですね。
だいたいシステム更新でアカウント情報の更新をユーザーがするってのもおかしな話。

そして気になるのは、リンク先の偽コピーサイト。
そのURLがこちらです。

末尾には受信側のメールアドレスが記載されています。

使われているドメインは”barely.servecounterstrike.com
このドメインについて調べてみましょう!

結果は、アメリカネバダ州レノって街から申請され現在の割り当て国もアメリカです。
もう少し詳しい位置情報を取得してみましょう!

えっ!あっ!…おおさか…

他複数のサイトでも調べましたが、どうやらアメリカではなく大阪で使われている
IPアドレスのようです。
もちろん位置はおおよそですが。。。

試しにリンク先へ行ってみました。
すると…

「一保堂茶舗」っていう日本茶専門店さんのサイトにつながりました。
でもおかしいですね、このページにあるリンクはどれを押しても”404 Not Found”と出て
つながりません。

「一保堂」で検索してみると、京都にある「一保堂茶舗」ってところにたどり着きます。
なにがどうなっているのか…(汗)


まとめ

ヨドバシドットコムを騙っておきながらリンク先は日本茶の専門店。
最後は意味が分からなくなってしまったので調査は暗礁に乗り上げてしまいました。
この犯人は、何がしたかったのか?
ただの愉快犯なのでしょうか?
その真相は私には分かりません(汗)

 

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了