『詐欺メール』「ヨドバシ?ドット?コム：「お客?様情報」変更依頼受付のご連絡」と、来た件

”yodobashi.com”と書いてあるけど…

今日から9月ですね、暦の上では秋。
暑かった夏もようやく終止符を打って長雨、名月、紅葉と季節が進んでいきます。
早くコロナも終息し、行楽の秋を満喫したいものですね！

さて、そんな気分をぶち壊すようなくそったれメールが今朝も届いていましたので
ご紹介しようと思います。

最近覆うのは”ヨドバシカメラ”を騙ったフィッシング詐欺メール。
今朝もこのようなやたら件名に”？”の多い文字化けメールが受信箱に！

件名は
「[spam] ヨドバシ?ドット?コム：「お客?様情報」変更依頼受付のご連絡 km5rzehldrxz」
ね、やたら”？”が多いでしょ？
”ヨドバシ?ドット?コム”の部分の”？”は”・”が文字化けしたものと思われますが
”お客?様情報”の”？”はどうしてこうなったんでしょうね？

末尾の”km5rzehldrxz”は、きっと通し番号のような固有の記号なんでしょうが、これは
このメールの信憑性を持たせるために付けたんでしょうね。

差出人は
「ヨドバシ.ドット.コム <ja@yodobashi.com>」
因みに、正規ヨドバシさんからのメールを見ると、”ヨドバシ.ドット.コム”じゃなくて
”ヨドバシ・ドット・コム”のように”.”じゃなくて”・”です、
”yodobashi.com”と、正規ドメインを使っているようですが、差出人のメールアドレス部分は
いくらでも偽装できますので信じてはいけませんよ！
それを証明するために、いつものようにメールのヘッダーソースにある「フィールド御三家」を
確認してみます。

上からいきます。
”Return-Path”は、このメールが宛先不明などでエラーになった場合に返信されるアドレス。
差出人と同じになっているので問題はありませんが、ここは偽装可能なフィールドなので
あてになりません。

次に”Message-ID”です。
ここはこのメールに与えられた固有の識別因子です。
一般的に”@”より後ろはメールと同じドメインかもしくはデバイスの名前が付けられます。
ここも差出人のメールドメインと同じになっているので特に問題はありません。
が、ここも偽装可能なフィールド、鵜呑みにはできません(;^_^A

そして、一番重要なのが”Received”フィールド。
ここはこのメールが通過するいくつかの受送信サーバーが自身で記録する自局のホスト情報。
ですから偽装は難しいフィールドです。
末尾の数字”45.43.36.188”がそのサーバーのホスト情報となります。
これを調べることでそのサーバーの位置情報などを取得することができます。
やってみると…

リモートホストにもIPが書かれているので、このIPアドレスにはドメインは割り当てられて
いないようです。
ですので、差出人が利用したメールサーバーのドメインは少なくとも”yodobashi.com”では
ありません。

そしてこのIPから推測される位置は台湾と出ています。

リンク偽装までしてるの？！

では、いよいよ本文に記載されている詐欺サイトへのリンクを検証しましょうか！

実際に書かれているのは、正規ドメインを使ったこちらのURL。

でも、詐欺サイトが正規ドメインのはずがありませんよね？
リンクを押してみると、こんなメッセージが！？

やはりリンク偽装されているようで、実際はに”www_order_youdubeshi_com.zqswwi.shop”
なんて長ったらしいサブドメインのURLに接続されます。
そのURLがこちらです。

繋いでみると…

ヨドバシドットコムのログインページが表示されました。
当たり前ですが、もちろん偽のコピーページです。

では、このURLに使われているドメインから推測される位置はどこなのでしょうか？

ああ、またアメリカ西海岸だ(;^_^A
最近多いんだよね～

まとめ

メールアドレスに”Return-Path”に”Message-ID”とおまけにリンク先まで偽装。
ウソにウソを重ねた悪質なフィッシング詐欺メールでしたね。
ヨドバシさんもスマホアプリがありますので、被害に遭わないよう必要に応じてログイン
の際は、そちらをお使いになることをお勧めします。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;