『詐欺メール』「【au PAY】ご利用のお知らせ」と、来た件

2021年9月16日

ついにau PAYまで

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. 「au PAY」の利用報告
2. 曜日、間違ってますよ！(笑)
3. まとめ

「au PAY」の利用報告

昨日の朝からずっと詐欺メールのブログエントリー書いてる気がしますが…(汗)
多すぎるんですよね、新種が。
今朝もメールボックスにはその新種が2つ。
まずはこちらから紹介していこうと思います。

これは「au PAY」に成りすまし、第三者の不正利用を騙ったフィッシング詐欺メールです。
身に覚えのない支払いを装いリンクに接続させようとしています。

件名は
「[spam] 【au PAY】ご利用のお知らせ [メールコードP1001]」
”[spam]”はスパムスタンプと言って、受信したサーバーに備わったスパムフィルターと
呼ばれるセキュリティーが反応し付加されたスタンプです。
これがあることでそのメールが悪意のある迷惑メールだと一目で判断することができます。
末尾の”メールコードP1001”は信ぴょう性を持たせるために適当に付けたものでしょう。

差出人は
「info <info@wallet.auone.jp>」
”auone.jp”は、大手通信会社「au」の正規ドメインです。
既に迷惑メールと判断が付いているので、このアドレスは偽装だとわかりますよね？

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<mfjst@efb.biz>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
このメールの場合、差出人のメールアドレスと”Return-Path”と全く違うものなので
ここで見てもこのメールは明らかに悪意のあるメールですね。

Message-ID:「<008c7b27fa40$10cd7a6c$b8439a6a$@efb.biz>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received:「from efb.biz (unknown [163.43.145.195])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

このような結果が出ました。
この差出人が利用した送信サーバーは、大手レンタルサーバー会社「さくらインターネット」
さんの持ち物。
と言うことは、差出人はそのユーザーと言うことになりますね。

曜日、間違ってますよ！(笑)

続いて本文。

いつもau PAYをご利用いただきありがとうございます。
au PAYのご利用内容をお知らせいたします。■利用店舗
セブンイレブン加須南篠崎２丁目
問合先：0480-66-2271
■種別
支払
■利用日時
2021年9月16日(水) 09:34:01
■支払金額
104,500円
■決済後残高
191,509円
■伝票番号
100000000531584985

利用確認の内容となっていますが、いろいろ具体的に書かれていますね。
これはこのメールの信憑性を高めるためのでたらめな情報。

でも、アンダーラインを引いた個所をよく見てください。
2021年9月16日は今日ですが、水曜日じゃなく木曜日です。。。(笑)
やっちゃいましたね…(;^_^A

本文はこの下に詐欺サイトへのテキストリンクが設けられています。
書かれているのはこちらのURL。