無料ドメインで?!11月中旬、朝の気温も10℃を下回るようになり冬の足音が近づいてきましたね。 うちでは昨夜、寒さに我慢できず遂に暖房器具のスイッチを入れてしまいました。 さて話は変わって詐欺メールのお話。 最近多い物の一つにフリマアプリ「メルカリ」を騙るフィッシング詐欺メールがあります。 今朝もこのようなメールが届いていました。 どうも最近、メールアドレスをそのまんまで送ってくるものが多いように感じます。 このメールもご多分に漏れずメルカリには全く関係の無いメールアドレスです。 件名は 「[spam] [メルカリ]サービス通知」 これじゃ、本文を読まないとメールの真意がつかめませんね。 もちろん”[spam]”と付けられているので迷惑メールの類です。 これはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは全て 迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”メルカリ” <kxb@sabiwasa.tk>」 まず、メルカリさんの正規ドメインは”mercari.com”です。 自社のドメインがあるのに別のドメインを使ったメールアドレスでユーザー当てにメール配信 するなんてことあると思いますか? そんなの絶対にありません!! それにこの”.tk”ってドメインは「トケラウ諸島」に与えられたトップレベルドメインで 数少ない無料取得が可能なドメインです。 因みにこのドメイン”sabiwasa.tk”は、現在「オランダ・アムステルダム」で使われています。
カジノの里からのメールでしたでは、メールをいつものようにヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<kxb@sabiwasa.tk>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211112233239254252@sabiwasa.tk>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from yahoo2.com.cn (205.185.122.18)」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報などを拾ってみましょう! 割り当て地は、「アメリカ・ネバダ州・ラスベガス」 ここはカジノでも有名ですが、サイバー犯罪でもかなり有名なところです。
素っ気ないメールでは、本文。 メルカリのサービスはまもなく停止します 。 下記の接続から停止原因を確認してください |
何とも味気ない… 必要最小限の事しか書かれてないですね。 それも中華フォントを使って…(;^_^A この後ろにある「ご利用確認はこちら」って一行に詐欺サイトへのリンクが 付けられています。 そのリンク先のURLがこちらです。 またまたこのドメインも調査します。 持ち主は「アメリカ・ネバダ州・ネロ」にご在住のご常連ですね。 割り当て国は「アメリカ合衆国」とされていますが、このサイトは持ち主とIPアドレス以外 不正確なのでこのIPアドレスを持って別サイトで調べてみます。 このサイトでは、割り当て地は「韓国・ソウル」とされています。 そして、脅威レベル「高」で、脅威の詳細は「Webによるサイバーアタックの攻撃元」 とされていてとても危険な感じがしますので今回はそっとしておきます。(汗)
まとめ差出人のメールアドレスでピンと来てください。 だいたいそこで見分けがつきます。 もちろん本文の素っ気なさもこのメールの特徴でしたが。 とにかくおかしなメールが多いのでマジでお気を付けください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |