また「さくらインターネット」ユーザー ビューカードになりすましパスワード再登録を騙ったフィッシング詐欺メールが届きました。 件名は 「[spam] サービスID通知/パスワード再登録受付ページのお知らせ」 “[spam]”は、受信したうちのサーバーが付加したスパムスタンプと呼ばれるセキュリティー の通知。 これが付けられているので、このメールは悪意のあることは明白です。 差出人は 「View <pwaer@ve.org>」 ビューカードのユーザー用専用サイトの「VIEW’s NET」の正規ドメインは”ve.org”ではなく ”viewsnet.jp”。 ということは、差出人は「VIEW’s NET」に無関係な人ってことになりますよね? ではこのメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<pwaer@ve.org>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<7863E23E6781ACC67F97669D7801A29F@ve.org>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ve.org (unknown [153.125.225.251])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! …またこいつらの仕業。 そう「さくらインターネット」のユーザーが差出人です。 このパターンからすると、詐欺サイトは隣国の詐欺サイトマンションでしょうね。 誰かがパスワードを変更した? では、本文。 平素は「VIEW’s NET」をご利用いただきまして、ありがとうございます。 サービスID通知/パスワード再登録のお申込みを承りました。 (受付日時 2021/10/09 10:07:46) 下記URLにアクセスし、必要な情報を入力して、手続きを行ってください。 | 第三者による「パスワード再登録」を騙った内容です。 手続きを行うために作られたリンク先のURLがこちらです。 先にも書きましたが、ビューカードのユーザー用専用サイトの「VIEW’s NET」の 正規ドメインは”view-jreast.com”ではなく”viewsnet.jp”。 お間違いないように… ”view-jreast.com”ってドメインの持ちぬ主は例によって「中国・広西チワン族自治区」の あの方。 そして割当先はやっぱり隣国。 そして接続されるその詐欺サイトがこちら。 完璧にコピーされた、偽「VIEW’s NET」のログインページです。 ここにIDとパスワードを入力し「ログイン」ボタンを押すと毒牙に牙をむかれてしまいます。 まとめ いろんな切り口から攻めてきますね。 今回はパスワードの再登録を第三者が行ったような内容でした。 日本人、もしくは日本語に長けた人間の仕業なので本文の文章だけでは詐欺と見分けが 付かなくなってきています。 やはり、メールのヘッダーを解析したり、リンクのサイトで使われているドメインを 確認するといったように、それなりのスキルが必要な時代になっていますので くれぐれもご用心を。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |