『詐欺メール』「【paidy】事務局からのお知らせ」と、来た件

まさかの冒頭での企業名間違い(笑)
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

企業さんに大変失礼なことを…

あのぉ…間違ってたらすいません。
あなた、それ、
もしかして「ペンディ」じゃなくて「ペイディ」
のお間違えじゃございませんこと?

「Paidy」は、オンラインショップ向けの後払い決済サービス、およびサービスを提供する
企業・株式会社Paidyのことであると思われます。

まさかの冒頭からの企業名称間違い!!
「Paidy」さんもいい迷惑。。。
それにしてもありえないフィッシング詐欺メールだわぁ~ (;’∀’)

って、最初の最初に落ちがあるこのメール。
ちゃっちゃと調べちゃいましょ!

では、プロパティーから。

件名は
「[spam] 【paidy】事務局からのお知らせ[メールコードP5980]」
まぁ、いちいち書くまでもなく”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「ペンデイ <noreply@paidy.com>」
わたし、よく知りませんが、”Paidy”から察するところ”ペイディ”だと思いますよ。
”ン”と”イ”も違っていますが、末尾の”イ”も”ィ”だと思います。
本気で騙すつもりなら、ちゃんとしましょうよ、ちゃんと…
paidy.com”は”Paidy”さんの正規ドメイン、でももはや全く信じられません(笑)

犯人は「さくらインターネット」のユーザー?!

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<noreply@paidy.com>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<008a89dadf9a$1ddbe323$db64f7cc$@paidy.com>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from mail0.paidy.com (os3-311-45094.vs.sakura.ne.jp [49.212.216.98])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

”Received””sakura.ne.jp”とあるので、おそらくこの差出人は「さくらインターネット」
と言うレンタルサーバー企業のユーザー。
ちょいちょい送ってくるんですよね、この人。
なので、もう調査の必要はなし!(笑)

「このたびはの”ご利用に際し」って…(;’∀’)

では本文。

件名の「メールコード」は単に通り番号を記したもの。
信ぴょう性を高めるために付けたものでしょうが、差出人がこれじゃね…

そして、本文でも墓穴を掘っています。
「このたびはご利用に際し」
ここに”の”が必要か否か…(笑)

「このサイトは安全ではありません」と

さて、それは良いとして気になるリンク先です。
それは「MyPaidyにログイン」って行に付けられています。
そのリンク先のURLがこちらです。

”Paidy”にちょこっとだけかすっていますが、使われているドメインは”smbuowsda.com
まずこのURLの危険性について、今回はGoolgeの「セーフブラウジング」で調べてみました。
結果はこちら。

このサイトは安全ではありません
サイトには、次のようなページを含め、
危険なコンテンツが含まれています。

個人情報を共有したりソフトウェアをダウンロードしたりするよう訪問者を誘導します

だそうです。(サイトのURLは危険性があるのであえて削除しています)

次に使われているドメインは”smbuowsda.com”について調べて見ました。
これによると、このドメインの持ち主は、大阪に本社がありドメイン取得サービスや
レンタルサーバー事業などを行っている”Xserver(エックスサーバー) ”さん。
詐欺サイトの管理者は、ここにドメイン管理を委託しているようです。

このドメインを割当てているIPアドレスは”192.227.185.98”と書かれているので
このIPアドレスの割り当て地を早速確認してみました。
結果は、オランダのアムステルダム。

さて、この地で繰り広げられているウェブサイトはと言うと、こちらです。

そう、Paidyのユーザ専用サイト「MyPaidyにログイン」のパクリサイトです。
危険がいっぱいなのでこの先へ行くのはやめておきますが、きっとログインの際に
入力したアカウント情報と、その先に現れるであろう個人情報入力フォームと
カード情報の入力フォームに打ち込んだ情報を詐取し詐欺に使われるのでしょうね。

まとめ

長くやってきましたが、企業名を間違えるなんて大間違いを演じた詐欺メールなんて
初めて見ました。(^^;
それでも騙される人がいるんだから仕方ありませんね。
次から次へと新しいものが現れるのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールIPアドレス,Message ID,MyPaidy,paidy.com,Received,Return-Path,sakura.ne.jp,Site Safety Center,smbuowsda.com,SMS,SPAM,Xserver,アムステルダム,このたびはのご利用に際し,コピーサイト,サイバーアタック,サイバー犯罪,ジャンクメール,セーフブラウジング,ドメイン,トレンドマイクロ,なりすまし,フィッシング詐欺,ペイディ,ヘッダーソース,ペンデイ,メール,メールコード,ワードサラダ,事務局からのお知らせ,企業名間違い,偽サイト,完コピ偽サイト,拡散希望,注意喚起,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart