『詐欺メール』「ヨドバシ・ドット・コム：確認情報を取得できませんでした」と、来た件

ドケチな野郎からのメール

9月に入りようやく暑い夏が過ぎ暦通り朝晩が少し涼しくなった当地名古屋です。
そんな中、最近のトレンドになっている”ヨドバシカメラ”さんを騙ったフィッシング詐欺
メールが急増しています。
今朝も、サーバーの中にこんなメールが。。。

おかしいでしょ？
句読点の”。”が全部”.”になっています。
”、”は正常なのに…どんな理由があるんでしょうね？

では、メールのプロパティーから確認していきます。

件名は
「ヨドバシ・ドット・コム：確認情報を取得できませんでした、
アカウントは09月04日に削除されます.」
件名にの”。”も”.”ですね(^▽^;)
それにしても明らかに詐欺メールなのに”[spam]”ってスタンプ付いてないですね(汗)
サーバーのスパムフィルター最近さぼってますね…

差出人は
「”ヨドバシドットコム” <iqnqd@miaoxichen.tk>」
ヨドバシさんのメールアドレスのドメインが”.tk”っておかしくない？
”.tk”は、ニュージーランド領トケラウに割り当てられているトップレベルドメインで
無料で取得できることで有名なドメイン。
ケチってますな(笑)

では、いつものようにメールのヘッダーソースから「フィールド御三家」を使って
このメールアドレスを調べてみましょう！
以下はソースから必要なフィールドを抜き出したもの。

では、この”209.141.54.242”ってIPアドレスを使ってそのサーバーの位置情報を
拾ってみましょう！

これによると、”209.141.54.242”ってIPアドレスは、”miaoxichen.tk”ってドメインに
ちゃんと割当てられていることが分かりますね。
そしてそのIPアドレスから割出した位置情報は、アメリカネバダ州ラスベガス。
あのきらびやかな街に設置されたメールサーバーをこの差出人は利用したことになりますね！

えっ、大阪で？！

では、次に本文。

やっぱり”.”が気になるなぁ….

「支払い方法を更新しろ」と書かれていますが、なぜ支払方法を更新しなければ
いけないのか、不思議なことにその理由はどこにも書かれていません。
「前回のメールで確認が取れなかったため」って、そんなの来てないし。。。
今日が9月3日…「アカウントは09月04日に削除されます」って日にちないじゃん！

なぁ～んて、全部がリンクを押させるためのウソの口実！
そのリンクは「ご支払い方法を更新はこちら」と書かれてる文字に付けられています。
そのURLがこちらです

では、この”rain.serveirc.com”ってドメインも調査しましょう！

まずドメインの申請者を確認。

2000年8月1日に申請されているので結構長く使われているドメインですね。
申請は、アメリカネバダ州レノって街に在住の方。
この地名聞いたことあるような気がする…気のせいだろうか？

このドメインを割当ててるIPアドレスは”34.97.64.17”。
このIPアドレスから推測される場所は、アメリカ。

もで、このサイトの位置情報があまり当てにならないので、他2か所で詳しく確認。

まず1つ目。
どうやら大阪の中心付近ですね。

ではもう1件。
こちらはより詳しく出ることが多いサイトです。

やばっ！　マンション名まで出ちゃった…(;^_^A
あくまでおおよそですよ、おおよそ。。。

ここに設置されたウェブサーバーでどんなサイトを運営してるのか？　気になりますよね？
では見に行きましょう！

「一保堂」？？　ああ、これ以前にもあった。
この時のエントリーだわ。

『詐欺メール』「ヨドバシ・ドット・コム：アカウントでお支払い方法を更新する必要があります」と、来た件

あの時もヨドバシさん騙りで、ドメインの申請者はネバダ州レノって街の人だった(汗)
これ、同一犯だ！！

実はこの「一保堂」のサイトはダミー。
ページについてるリンクはどれも機能していないので何も購入することはできません。
「一保堂」で検索すると、京都に本店のある「一保堂茶舗」さんが筆頭に出てくる。
もちろん、このお店には何のかかわりもないと思います。

それにしてもなぜダミーサイトなんて作ったんでしょうね？

まとめ

最近ほんと「ヨドバシドットコム」を騙ったフィッシング詐欺メールが多いですね。
第三者不正利用を騙ったり、今回のように支払方法の更新を促したりと。
色々な手段を使ってきますので十分ご注意ください

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;