『詐欺メール』続・「ヨドバシ·ドット·コム:カード情報更新のお知らせ」と、来た件

heart

3年前

見飽きた使いまわし本文

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

偽装を見抜け！

同じ件名のメールは少し前にご紹介していますが、今回はバナーもなく無機質なもの。
それに差出人のメールアドレスも以前のものと違うので改めてのご紹介です。

件名は
「[spam] ·ヨドバシ·ドット·コム:カード情報更新のお知らせ」
相変わらず”ヨ”の前に意味不明の”・”が付いていますね(笑)
サーバーに”[spam]”と付けられているので迷惑メールの類だと分かります。

差出人は
「”ヨドバシ・ドット・コム” <bu@wcxuge.shop>」
図にも書きましたが、”wcxuge.shop”なんてヨドバシカメラとは全く関連性の無いドメイン。
このメールアドレスも本物かどうか…
ってことで、ヘッダーの「フィールド御三家」を確認してみます。

Return-Path: <bu@wcxuge.shop>
Message-ID: <20210831012734443633@wcxuge.shop>
Received: from wcxuge.shop (mail.jlfof.cn [42.240.140.209])

”Return-Path”は、メールの宛先が見つからないなどの理由でエラーがあった時に
返信されるアドレスでここは偽装可能なフィールド。
当然差出人と同じであるはずです。
確かにこのメールの差出人アドレスと同じメールアドレスになっていますね。

”Message-ID”は、メール固有の因子で一般的に”@”より後ろは、差出人のメールアドレスに
使われているドメインか、デバイスの名称になります。
こちらも偽装可能なフィールド。
このメールの場合は、差出人アドレスと同じメールアドレスになっていますね。

”Received”は、そのメールが通過した受送信サーバーが自身で刻む自局のホスト情報。
何やら始めてみる”mail.jlfof.cn”なんて中国のトップレベルドメインを使ったアドレスが
見えてきましたね。
末尾の数字は、そのサーバーのIPアドレスです。
これを調べればこのメールアドレスが本物かどうか判断が付くはず！
ちょっと調べてみましょう。

これはIPアドレスを検索対象にした結果です。

そしてこちらは、ドメイン”mail.jlfof.cn”を検索対象にしたもの。

結果は、図中に書いておきました。
上段の図のドメイン申請者は、よく見かける漢字三文字の方。。。
このIPアドレスには”wcxuge.shop”ではなく”1l6498a.cn”ってドメインが割当てられて
いました。
もしかしてこのド面でも悪さを？！(;^_^A

そして下段図。
このIPアドレスには”mail.jlfof.cn”も割当てていることが判明！
同じIPアドレスに複数のドメインを割当てることができるんです。

この結果から、差出人のメールアドレスは偽装とわかりました。

偽サイトは西海岸に多し！

では、本文。

内容は、先の図をご覧にただくとして、まず、文面はアマゾンや楽天などその他
ショッピングサイトを騙った詐欺メールと瓜二つ。
完全な使いまわしですね(笑)

真っ先に気づくのは、本文の書き出しに”宛名”が無いこと！
普通なら、”～様”と書くはずです。
それが無いのは、やっぱり詐欺メールの証拠！！

なんやかんや不安になる言葉を並べた後、詐欺サイトへのリンクを押させるおんが手口。
そのリンクURLがこちらです。

使われているドメインは”www_order_youdubeshi_com.2wnup8q.cn”
って、中国ドメインか～い！
ヨドバシカメラが中国のドメイン使うはずありません！！

さてこのドメイン、誰がどこで使ってるのか、、、気になりますよね？！
では…

もう少し詳しい位置が知りたくなるのが人情ですよね？
では…

あくまで位置はおおよそですが、カリフォルニア州サンフランシスコが示されました。

では、ここに設置されたウェブサーバーでどんなサイトを営んでいるんでしょうか？
はい、では繋いでみます。

おっと、セキュリティー企業ではすでに周知済みのようですね、ブロックされました。(汗)

危険を承知で先に進んでみます。

あっ、再びブロック(;^_^A

よく見ると、接続されるURLが先程の物と異なります。
リダイレクトですね。。。
今度は”www_order_youdubeshi_com.moeugl.shop”なんてドメインのサイトですね。
このドメインは後で調査するとして、先に進みます。

やはり、ヨドバシのログイン画面です。

何が「安心してお買い物をお楽しみください」だ、完コピ偽サイトのくせに！！

そうそう、さっきのドメインも調べなきゃ(;^_^A

これもアメリカ西海岸の街、ロスアンゼルスと出ました。
西海岸の偽サイトサーバー多いなぁ…(-_-;)

まとめ

最近出てくる完コピ偽サイトの運営サーバーは、アメリカ西海岸が大多数！
犯罪の温床ですね…(^-^;

ヨドバシさんもスマホアプリがあります。
何かあれば些細なことでも必ずスマホアプリから確認しましょう。
けしてりんくをたどらないでくださいね！！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)