『詐欺メール』「【重要なお知らせ】エポスカードご利用? 認」と、来た件

heart

3年前

バラエティーに富んだメールでした

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

件名、文字化けした？！

今日は大人しくしてられるかなと思ったら、こんなの届きました。
やはりまったりしてられませんね(笑)

またまた何とも怪しいメールですね。
では、プロパティから見ていきましょうか。

件名は
「[spam] 【重要なお知らせ】エポスカードご利用? 認」
”利用? 認”ってところ文字化けしてる”？”になってるし(笑)
”[spam]”はうちのサーバーが付加したセキュリティー情報で、悪意のメールだと教えて
くれています。

差出人は
「”エポスNet EPOSNET” <admin@odmtuvmw.com>」
「エポスNet」さんの正規ドメインは”eposcard.co.jp”でけして”odmtuvmw.com”では
ありません。
どうせこれも偽装でしょうけどね(笑)

ではその偽装をメールをヘッダーソースから暴いていきます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<admin@odmtuvmw.com>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<005801d7c1a5$e95f1af1$00097313@odmtuvmw.com>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from a0.odmtuvmw.com (v163-44-152-81.a00d.g.sin1.static.cnode.io [163.44.152.81])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
”cnode.io”久々に見ました。
この詐欺師グループ、まだ活動してるんですね(笑)

では、このIPアドレスを使ってそのメールサーバーの位置情報を拾ってみましょう！

もちろんおおよその位置情報ですが、東京都渋谷区と表示されました。
ここに犯人の拠点があるわけではなく、あくまで利用したメールサーバーの位置ですので
お間違いなく。

「ログインリマインダー」は要注意キーワード！？

では、本文です。

アカウントの異常なログインリマインダー
ログイン日時：2021-10-15
アクセス元：Japan
端末名：Windows(パソコン)
IPアドレス：213.126.195.25あなたのIDとパスワードで第三者がログインした形跡が見つかったため、
ログイン一時停止を行いました。ログインするにはパスワードの再設定を行って下さい。

詐欺メールで時々見かける「ログインリマインダー」ってあまり使いませんよね？
リマインダーって言うくらいだから「ログイン通知」って意味だと思うのですが
気になったのでこれをキーワードに検索してみたところ、ザクザクと迷惑メールに関する
情報が取得できました(笑)

本文の内容は、三者の不正ログインを騙っています。

それぞれの情報は、このメールの信憑性を持たせるためのテクニック。
ただ、端末名オペレーションシステムの後ろに「パソコン」っていちいち書く必要なんて
あるんでしょうか？
”Windows”だけで充分分かると思いますが…

因みにここに書かれているIPアドレスはもちろんでたらめなんですが、割当地はどこかな～と
思って調べてみたらこんな国が表示されました。

こっそりとワードサラダも！？

例によって、このメールにも詐欺サイトへのリンクが付けられています。
メールに直書きされていたのはこのURL。

でも、これは偽装で実際に接続されるURLはこちらでした。

では、このドメインも持ち主をサクッと調べてみましょう。

やはり、メールのIPアドレスと同じ東京都渋谷区が持ち主の住所です。
取得日は10月14日と記載されているので昨日ですね。
しかし、”.com”ドメインなんて結構費用が掛かるのによく詐欺用に使いますよね？

さて、このURLのリンク先ですが、行ってみると意外な展開に！

えっ？！
成りすましたのは「エポスNet」じゃなかったの？？
開いたのは「メルカリ」のログインページ。
もちろん偽物のコピーサイトですが…
何がやりたいのか私にはさっぱり分かりません…┐(´д｀)┌ﾔﾚﾔﾚ

そう言えば、さっき本文をコピペして気がついたんだけど、このメールには下の箇所に
こっそりワードサラダが隠れていました。

ワードサラダとは、サーバーに設置されたスパムフィルターと言うセキュリティ装置に感知
されないように意味の無い隠し文字を潜ませる手法です。
でも、件名にしっかり”[spam]”付けられてるので、その目論見は敢え無く失敗。(笑)
このメールの場合、この訳のわからない文字のフォント色を白くしてぱっと見見えないように
してありました。

まとめ

たった1通のメールですが、実にと様々な情報が隠されているのがお分かりいただけのでは
ないかと思います。
何気なく見ているメールですが、ほんの少し視点を変えることで詐欺に遭う被害を未然に
防ぐことに結び付きます。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)