『詐欺メール』「【au PAY】ご利用のお知らせ」と、来た件

ついにau PAYまで
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
 

au PAY」の利用報告

昨日の朝からずっと詐欺メールのブログエントリー書いてる気がしますが…(汗)
多すぎるんですよね、新種が。
今朝もメールボックスにはその新種が2つ。
まずはこちらから紹介していこうと思います。

これは「au PAY」に成りすまし、第三者の不正利用を騙ったフィッシング詐欺メールです。
身に覚えのない支払いを装いリンクに接続させようとしています。

件名は
「[spam] 【au PAY】ご利用のお知らせ [メールコードP1001]」
”[spam]”はスパムスタンプと言って、受信したサーバーに備わったスパムフィルターと
呼ばれるセキュリティーが反応し付加されたスタンプです。
これがあることでそのメールが悪意のある迷惑メールだと一目で判断することができます。
末尾の”メールコードP1001”は信ぴょう性を持たせるために適当に付けたものでしょう。

差出人は
「info <info@wallet.auone.jp>」
”auone.jp”は、大手通信会社「au」の正規ドメインです。
既に迷惑メールと判断が付いているので、このアドレスは偽装だとわかりますよね?

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<mfjst@efb.biz>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
このメールの場合、差出人のメールアドレスと”Return-Path”と全く違うものなので
ここで見てもこのメールは明らかに悪意のあるメールですね。
Message-ID:「<008c7b27fa40$10cd7a6c$b8439a6a$@efb.biz>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。
Received:「from efb.biz (unknown [163.43.145.195])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

このような結果が出ました。
この差出人が利用した送信サーバーは、大手レンタルサーバー会社「さくらインターネット」
さんの持ち物。
と言うことは、差出人はそのユーザーと言うことになりますね。

曜日、間違ってますよ!(笑)

続いて本文。

いつもau PAYをご利用いただきありがとうございます。
au PAYのご利用内容をお知らせいたします。■利用店舗
セブンイレブン加須南篠崎2丁目
問合先:0480-66-2271
■種別
支払
■利用日時
2021年9月16日(水) 09:34:01
■支払金額
104,500円
■決済後残高
191,509円
■伝票番号
100000000531584985

利用確認の内容となっていますが、いろいろ具体的に書かれていますね。
これはこのメールの信憑性を高めるためのでたらめな情報。

でも、アンダーラインを引いた個所をよく見てください。
2021年9月16日は今日ですが、水曜日じゃなく木曜日です。。。(笑)
やっちゃいましたね…(;^_^A

本文はこの下に詐欺サイトへのテキストリンクが設けられています。
書かれているのはこちらのURL。

でも、クリックしてみるとThunderbirdからこのような警告が発せられました。

そう、リンク偽装です。
ここに書かれているように、実際に接続されるリンク先のURLはこちらです。

でました、”.xyz”ドメイン。
このドメインは格安で取得できることで知られていますが、格安故に使い捨てが容易にできる
ため、犯罪に使われることが多いことでも知られています。
ですから、このドメインを見たら”ピン”と来てください!

では、このドメインはどこで使われているものなんでしょうか?
調べてみます。

「South Korea」なので隣国の韓国ですね、おおよそですがこれによるとソウルの南にある
「キョンギ道・アニャン市」と書かれています。
と言うことは、この地に設置されたウェブサーバー内で完コピされた詐欺サイトを運営して
いると推測できます。

繋いでみると、当たり前ですがauの偽のログイン画面が表示されました。

まとめ

残念ですが、私、「au PAY」使ってませんのでどちらにしても騙されたくても騙されられ
ません。(笑)
この感じだと、またあらゆるPAYを装った詐欺メールを配信してくるんでしょうね。
ブログネタに尽きないのはありがたいんですが…

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールau PAY,au PAY】ご利用のお知らせ,aupay-email.xyz,Cloudflare,IPアドレス,Message ID,Received,Return-Path,SMS,SPAM,wallet.auone.jp,クラウドフレア,さくらインターネット,ジャンクメール,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メール,ワードサラダ,利用報告,完コピ偽サイト,拡散希望,注意喚起,第三者の不正利用を騙ったフィッシング詐欺メー,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart