『詐欺メール』「ヨドバシ·ドット·コム:カード情報更新のお知らせ」と、来た件

またしても中国ドメイン

8月も後半と言うのにどんよりとし非常に蒸し暑い梅雨のような天気が続く当地です。
そんな中、もっと蒸し暑くするようなフィッシング詐欺メールが届きました。

そのメールがこちらです。

差出人は「ヨドバシ・ドット・コム <cancel@yodobashi.com>」となっています。
確かにヨドバシカメラさんの正規ドメインは”yodobashi.com”ですが、もちろん偽装です！
では、真相を確かめてみましょう

これは、このメールのヘッダーソースから抜粋した「フィールド御三家」
私はこれらのフィールドをこう呼んでいます(笑)

まず”Return-Path”ですが、これはエラー時の返信先。
差出人と同じアドレスなので特に問題はありません。
でも、ここは誰でも偽装できるので簡単には信じていけないフィールド。

次に”Message-ID”
これも@より後ろが正規ドメインになっているので問題なし。
でも、ここも偽装可能フィールドなので鵜呑みにはできません。

そして最後に”Received”
ここは、このメールが通過したサーバーが自身で記入するホスト情報で偽装はできません。
ここに示したのは、差出人が利用した送信サーバーのホスト情報になり(　)内の記載が
それに当たります。
見てみると”v6xdco2.cn”なんてとても怪しい中国のドメインが書かれていますね…

このドメインについて調べてみました。

申請者氏名は、漢字三文字の方。
IPアドレスとリモートホストのドメインが”Received”のものと合致していますね！
多分中国の方だと思いますが、フィッシング詐欺メールは中国がらみがホント多いですね(汗)

難癖付けてみた

もう少しこのメールのプロパティーをいじってみます(笑)

上の段の図が今回届いた詐欺メールのプロパティーで、下段のメールは以前私の注文時に
実際にヨドバシさんから受け取ったメールのプロパティーです。

まず、最初に気づくのは”[spam]”の文字。
これは、受け取ったうちのサーバーが追記した注意喚起文字で、スパムスタンプと呼ばれます。
サーバーのオプションセキュリティーにスパムフィルターと言う迷惑メール振り分け機能が
設けられており、そのフィルターに引っ掛かったメールの件名の頭に付加されるものです。
ですので、本文を読むまでもなく悪意のあるものであることを判断することができます。

その他図中に書き込んでおきましたが、本物は”ヨドバシ・ドット・コム”の後ろのコロンは
全角の”：”で、偽物は半角の”:”。
そして偽物は、”ヨドバシ・ドット・コム”の前に何故か”・”が付けられています。

奴らにも向上心があるでしょうからいつまでも単純にこれだけで見分ける訳にはいかない
と思いますが…

無精でなまかわな差出人

では、本文。

内容は、支払用のクレジットカードを使うことができなかったのでリンク先で
情報を更新しろってことらしいです。

「·カード情報更新会員ID (メールアドレス)」って書かれた下の空白行にいつものメールなら
こちらのメールアドレスが記載されているんですが、面倒だったんでしょうかこのメールは
空白行となっています。

それにこのメール、リンク先は直書きのURL…
ほかのメールなら文字リンクやリンクボタンにするのに、無精ですね。(笑)

さて、ここに書かれているように、リンク先のURLがこちらです。

繋いでみると…

完全なコピーサイト、ヨドバシカメラのログイン画面です。
サイトのコピーも立派な著作権侵害ですので犯罪です！

では次に、使われている”erp369.top”ってドメインについて調べてみると。

ドメインの登録申請は、中国山東省から行われています。
でも、それ以外は”REDACTED FOR PRIVACY”となっててプライバシー保護されています。

そして、このドメインを割当てているIPアドレスから導き出した所在地はこちら。

アメリカカリフォルニア州のサンフランシスコですね。
と言うことは、先程つながったコピーサイトは、この地に設置されたサーバーで
運営されていることになります。

まとめ

差出人のメールアドレスが偽装されてるとは言うものの、メールの内容自体は、カードが
利用できなかったと言うよく見かけるものなので難なくそれと見分けが付きますね。

本文の見出しの「残念ながら、あなたのアカウントが」って切れてるところが
何ともそれらしいメールでした。