『詐欺メール』「ヨドバシ・ドット・コム:確認情報を取得できませんでした」と、来た件

迷惑メール

「ヨドバシ・ドット・コム」騙り大発生中?!
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!


ドケチな野郎からのメール

9月に入りようやく暑い夏が過ぎ暦通り朝晩が少し涼しくなった当地名古屋です。
そんな中、最近のトレンドになっている”ヨドバシカメラ”さんを騙ったフィッシング詐欺
メールが急増しています。
今朝も、サーバーの中にこんなメールが。。。

おかしいでしょ?
句読点の”。”が全部”.”になっています。
”、”は正常なのに…どんな理由があるんでしょうね?

では、メールのプロパティーから確認していきます。

件名は
「ヨドバシ・ドット・コム:確認情報を取得できませんでした、
アカウントは09月04日に削除されます.」
件名にの”。”も”.”ですね(^▽^;)
それにしても明らかに詐欺メールなのに”[spam]”ってスタンプ付いてないですね(汗)
サーバーのスパムフィルター最近さぼってますね…

差出人は
「”ヨドバシドットコム” <iqnqd@miaoxichen.tk>」
ヨドバシさんのメールアドレスのドメインが”.tk”っておかしくない?
”.tk”は、ニュージーランド領トケラウに割り当てられているトップレベルドメインで
無料で取得できることで有名なドメイン。
ケチってますな(笑)

では、いつものようにメールのヘッダーソースから「フィールド御三家」を使って
このメールアドレスを調べてみましょう!
以下はソースから必要なフィールドを抜き出したもの。

Return-Path: <iqnqd@miaoxichen.tk>

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:20210903003250253824@miaoxichen.tk>

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received: from miaoxichen.tk (miaoxichen.tk [209.141.54.242])

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”209.141.54.242”ってIPアドレスを使ってそのサーバーの位置情報を
拾ってみましょう!

これによると、”209.141.54.242”ってIPアドレスは、”miaoxichen.tk”ってドメインに
ちゃんと割当てられていることが分かりますね。
そしてそのIPアドレスから割出した位置情報は、アメリカネバダ州ラスベガス。
あのきらびやかな街に設置されたメールサーバーをこの差出人は利用したことになりますね!


えっ、大阪で?!

では、次に本文。

ヨドバシ・ドット・コムアカウントでお支払い方法を更新する必要があります.
前回のメールで確認が取れなかったため、このアカウントは09月04日に削除されます.

(このメールは、配信専用のアドレスで配信されています)

お客様

ヨドバシドットコムをご利用いただきありがとうございます.
システムの更新に伴い、ヨドバシドットコムアカウントの支払い方法を更新して、
アカウントが正常に使用されるようにする必要があります.

やっぱり”.”が気になるなぁ….

「支払い方法を更新しろ」と書かれていますが、なぜ支払方法を更新しなければ
いけないのか、不思議なことにその理由はどこにも書かれていません。
「前回のメールで確認が取れなかったため」って、そんなの来てないし。。。
今日が9月3日…「アカウントは09月04日に削除されます」って日にちないじゃん!

なぁ~んて、全部がリンクを押させるためのウソの口実!
そのリンクは「ご支払い方法を更新はこちら」と書かれてる文字に付けられています。
そのURLがこちらです

では、この”rain.serveirc.com”ってドメインも調査しましょう!

まずドメインの申請者を確認。

2000年8月1日に申請されているので結構長く使われているドメインですね。
申請は、アメリカネバダ州レノって街に在住の方。
この地名聞いたことあるような気がする…気のせいだろうか?

このドメインを割当ててるIPアドレスは”34.97.64.17”。
このIPアドレスから推測される場所は、アメリカ。

もで、このサイトの位置情報があまり当てにならないので、他2か所で詳しく確認。

まず1つ目。
どうやら大阪の中心付近ですね。

ではもう1件。
こちらはより詳しく出ることが多いサイトです。

やばっ! マンション名まで出ちゃった…(;^_^A
あくまでおおよそですよ、おおよそ。。。

ここに設置されたウェブサーバーでどんなサイトを運営してるのか? 気になりますよね?
では見に行きましょう!

「一保堂」?? ああ、これ以前にもあった。
この時のエントリーだわ。

『詐欺メール』「ヨドバシ・ドット・コム:アカウントでお支払い方法を更新する必要があります」と、来た件
犯人は、結局何がしたいんだろうか? ※ご注意ください! 当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。 このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません! リンク先は正規サイ...

あの時もヨドバシさん騙りで、ドメインの申請者はネバダ州レノって街の人だった(汗)
これ、同一犯だ!!

実はこの「一保堂」のサイトはダミー。
ページについてるリンクはどれも機能していないので何も購入することはできません。
「一保堂」で検索すると、京都に本店のある「一保堂茶舗」さんが筆頭に出てくる。
もちろん、このお店には何のかかわりもないと思います。

それにしてもなぜダミーサイトなんて作ったんでしょうね?


まとめ

最近ほんと「ヨドバシドットコム」を騙ったフィッシング詐欺メールが多いですね。
第三者不正利用を騙ったり、今回のように支払方法の更新を促したりと。
色々な手段を使ってきますので十分ご注意ください

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました