※ご注意ください! 当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。 このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません! リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を 入力させアカウント情報を詐取します。 ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう 心掛けてください!
またしても中国ドメイン8月も後半と言うのにどんよりとし非常に蒸し暑い梅雨のような天気が続く当地です。 そんな中、もっと蒸し暑くするようなフィッシング詐欺メールが届きました。 そのメールがこちらです。 差出人は「ヨドバシ・ドット・コム <cancel@yodobashi.com>」となっています。 確かにヨドバシカメラさんの正規ドメインは”yodobashi.com”ですが、もちろん偽装です! では、真相を確かめてみましょう Return-Path: <cancel@yodobashi.com> Message-ID: <20210825000059656433@yodobashi.com> Received: from yodobashi.com (v6xdco2.cn [106.75.123.25]) |
これは、このメールのヘッダーソースから抜粋した「フィールド御三家」 私はこれらのフィールドをこう呼んでいます(笑) まず”Return-Path”ですが、これはエラー時の返信先。 差出人と同じアドレスなので特に問題はありません。 でも、ここは誰でも偽装できるので簡単には信じていけないフィールド。 次に”Message-ID” これも@より後ろが正規ドメインになっているので問題なし。 でも、ここも偽装可能フィールドなので鵜呑みにはできません。 そして最後に”Received” ここは、このメールが通過したサーバーが自身で記入するホスト情報で偽装はできません。 ここに示したのは、差出人が利用した送信サーバーのホスト情報になり( )内の記載が それに当たります。 見てみると”v6xdco2.cn”なんてとても怪しい中国のドメインが書かれていますね… このドメインについて調べてみました。 申請者氏名は、漢字三文字の方。 IPアドレスとリモートホストのドメインが”Received”のものと合致していますね! 多分中国の方だと思いますが、フィッシング詐欺メールは中国がらみがホント多いですね(汗)
難癖付けてみたもう少しこのメールのプロパティーをいじってみます(笑) 上の段の図が今回届いた詐欺メールのプロパティーで、下段のメールは以前私の注文時に 実際にヨドバシさんから受け取ったメールのプロパティーです。 まず、最初に気づくのは”[spam]”の文字。 これは、受け取ったうちのサーバーが追記した注意喚起文字で、スパムスタンプと呼ばれます。 サーバーのオプションセキュリティーにスパムフィルターと言う迷惑メール振り分け機能が 設けられており、そのフィルターに引っ掛かったメールの件名の頭に付加されるものです。 ですので、本文を読むまでもなく悪意のあるものであることを判断することができます。 その他図中に書き込んでおきましたが、本物は”ヨドバシ・ドット・コム”の後ろのコロンは 全角の”:”で、偽物は半角の”:”。 そして偽物は、”ヨドバシ・ドット・コム”の前に何故か”・”が付けられています。 奴らにも向上心があるでしょうからいつまでも単純にこれだけで見分ける訳にはいかない と思いますが…
無精でなまかわな差出人では、本文。 残念ながら、あなたのアカウントが ヨドバシ·ドット·コムのカード情報を更新できませんでした。 ご注文内容のご確認をお願いいたします。 ヨドバシ·ドット·コムのカード情報を更新できませんでした。 これは、カードが期限切れになったか、請求先住所が変更されたなど、さ まざまな理由で発生する可能性があります。 アカウント情報の一部が誤っているため、お客様のアカウントを維持する ために、ヨドバシ·ドット·コムのカード情報を確認する必要があります。今 アカウントを確認できます。 【カード情報更新】 ————————————————————— ·カード情報更新会員ID (メールアドレス) (同様の詐欺メールならここに受信者のメールアドレスが記載されていますが…) ·お客様のカード情報更新ページはこちら https://www-yodobashi-com.erp369.top?login ————————————————————— |
内容は、支払用のクレジットカードを使うことができなかったのでリンク先で 情報を更新しろってことらしいです。 「·カード情報更新会員ID (メールアドレス)」って書かれた下の空白行にいつものメールなら こちらのメールアドレスが記載されているんですが、面倒だったんでしょうかこのメールは 空白行となっています。 それにこのメール、リンク先は直書きのURL… ほかのメールなら文字リンクやリンクボタンにするのに、無精ですね。(笑) さて、ここに書かれているように、リンク先のURLがこちらです。 繋いでみると… 完全なコピーサイト、ヨドバシカメラのログイン画面です。 サイトのコピーも立派な著作権侵害ですので犯罪です! では次に、使われている”erp369.top”ってドメインについて調べてみると。 ドメインの登録申請は、中国山東省から行われています。 でも、それ以外は”REDACTED FOR PRIVACY”となっててプライバシー保護されています。 そして、このドメインを割当てているIPアドレスから導き出した所在地はこちら。 アメリカカリフォルニア州のサンフランシスコですね。 と言うことは、先程つながったコピーサイトは、この地に設置されたサーバーで 運営されていることになります。
まとめ差出人のメールアドレスが偽装されてるとは言うものの、メールの内容自体は、カードが 利用できなかったと言うよく見かけるものなので難なくそれと見分けが付きますね。 本文の見出しの「残念ながら、あなたのアカウントが」って切れてるところが 何ともそれらしいメールでした。 |