『詐欺メール』「【重要なお知らせ】エポスカードご利用? 認」と、来た件

件名、文字化けした？！

今日は大人しくしてられるかなと思ったら、こんなの届きました。
やはりまったりしてられませんね(笑)

またまた何とも怪しいメールですね。
では、プロパティから見ていきましょうか。

件名は
「[spam] 【重要なお知らせ】エポスカードご利用? 認」
”利用? 認”ってところ文字化けしてる”？”になってるし(笑)
”[spam]”はうちのサーバーが付加したセキュリティー情報で、悪意のメールだと教えて
くれています。

差出人は
「"エポスNet EPOSNET" <admin@odmtuvmw.com>」
「エポスNet」さんの正規ドメインは”eposcard.co.jp”でけして”odmtuvmw.com”では
ありません。
どうせこれも偽装でしょうけどね(笑)

ではその偽装をメールをヘッダーソースから暴いていきます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのメールサーバーの位置情報を拾ってみましょう！

もちろんおおよその位置情報ですが、東京都渋谷区と表示されました。
ここに犯人の拠点があるわけではなく、あくまで利用したメールサーバーの位置ですので
お間違いなく。

「ログインリマインダー」は要注意キーワード！？

では、本文です。

詐欺メールで時々見かける「ログインリマインダー」ってあまり使いませんよね？
リマインダーって言うくらいだから「ログイン通知」って意味だと思うのですが
気になったのでこれをキーワードに検索してみたところ、ザクザクと迷惑メールに関する
情報が取得できました(笑)

本文の内容は、三者の不正ログインを騙っています。

それぞれの情報は、このメールの信憑性を持たせるためのテクニック。
ただ、端末名オペレーションシステムの後ろに「パソコン」っていちいち書く必要なんて
あるんでしょうか？
”Windows”だけで充分分かると思いますが…

因みにここに書かれているIPアドレスはもちろんでたらめなんですが、割当地はどこかな～と
思って調べてみたらこんな国が表示されました。

こっそりとワードサラダも！？

例によって、このメールにも詐欺サイトへのリンクが付けられています。
メールに直書きされていたのはこのURL。

でも、これは偽装で実際に接続されるURLはこちらでした。

では、このドメインも持ち主をサクッと調べてみましょう。

やはり、メールのIPアドレスと同じ東京都渋谷区が持ち主の住所です。
取得日は10月14日と記載されているので昨日ですね。
しかし、”.com”ドメインなんて結構費用が掛かるのによく詐欺用に使いますよね？

さて、このURLのリンク先ですが、行ってみると意外な展開に！

えっ？！
成りすましたのは「エポスNet」じゃなかったの？？
開いたのは「メルカリ」のログインページ。
もちろん偽物のコピーサイトですが…
何がやりたいのか私にはさっぱり分かりません…┐(´д｀)┌ﾔﾚﾔﾚ

そう言えば、さっき本文をコピペして気がついたんだけど、このメールには下の箇所に
こっそりワードサラダが隠れていました。

ワードサラダとは、サーバーに設置されたスパムフィルターと言うセキュリティ装置に感知
されないように意味の無い隠し文字を潜ませる手法です。
でも、件名にしっかり”[spam]”付けられてるので、その目論見は敢え無く失敗。(笑)
このメールの場合、この訳のわからない文字のフォント色を白くしてぱっと見見えないように
してありました。

まとめ

たった1通のメールですが、実にと様々な情報が隠されているのがお分かりいただけのでは
ないかと思います。
何気なく見ているメールですが、ほんの少し視点を変えることで詐欺に遭う被害を未然に
防ぐことに結び付きます。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;