HEARTLAND

The Endress Run

  • ホーム
  • Myself
  • お問合せページ
  • サイトマップ
  • プライバシーポリシー
  • 
  • 

    メニュー

  • 

    サイドバー

  • 

    前へ

  • 

    次へ

  • 

    検索

  •   RSS 
  •   Feedly 
  1. ホーム>
  2. デジタル>
  3. 迷惑メール

『詐欺メール』「『Ciseaux de Tailleur』にお問い合わせありがとうございます。」と、来た件

2022年2月7日

  • Twitter
  • Facebook
  • Pin it
  • LinkedIn
  • Pocket

2日連続で
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
目次
  • 1. 仕立て屋のはさみ?!
  • 2. リンク先はロシアのアダルトサイト
  • 3. まとめ

仕立て屋のはさみ?!

昨日ご紹介した「ヒノキ建設」を装い、問い合わせの確認メールを騙ったフィッシング詐欺
メールは、マルウェアーが埋め込まれたエロサイトへ誘いこむものでした。
一夜明けて今朝は、同じような内容のメールが届いております。

では、メールのプロパティーから見ていきましょう。

件名は
「『Ciseaux de Tailleur』にお問い合わせありがとうございます。」
このメールは明らかにフィッシング詐欺メールなのに、いつも付いてる”[spam]”とスタンプが
付けられていません。
うちのサーバー時々チョンボするんですよね。。。(;^_^A
もちろん私は、どこにも問合せした記憶はありません。

差出人は
「Ciseaux de Tailleur <info@cdt-1998.com>」
「Ciseaux de Tailleur」とは、フランス語で「仕立て屋のはさみ」と言う意味だそうです。
このメールアドレスは偽装されている可能性が大!

では、このメールのヘッダーソースを確認し偽装かどうか調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<caako717@users004.phy.heteml.jp>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
普通なら、差出人と同じアドレスになるはずですが…
この時点で、差出人のメールアドレスにあるドメイン”cdt-1998.com”と異なる
ドメインが使われたメールアドレスが記載されていますよねから偽装であることが
容易に判断できます。

Message-ID:「<e73d8a19d01bd333a42fe064be2c5dcd@cdt-1998.com>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from users004.phy.heteml.jp (users004.phy.heteml.jp [157.7.44.142])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

”Return-Path”と”Received”に書かれているドメインは同じものでしたので恐らくこの
差出人の本当のメールアドレスドメインは”users004.phy.heteml.jp”で割当てている
IPアドレスは”Received”に書かれている”157.7.44.142”です。
では、この”Received”にあったIPアドレスを使って、持ち主とそのサーバーの情報を
拾ってみます。

ぼかしてありますが、どうやらこのドメインはムームードメインが管理している模様。
そしてこのIPアドレスは、GMO系のプロバイダー「INTERQ」が所有するもので所在地を
調べると「東京都渋谷区桜丘町」
これはINTERQのサーバー位置かも知れません。

ただし、この”users004.phy.heteml.jp”ってドメインももしかしたら乗っ取られたものかも
知れませんので、一概に差出人ご本人の持ち物とは限りませんので悪しからず。


リンク先はロシアのアダルトサイト

では、本文です。

文頭とお名前のところに書かれているのはなぜだか英文で
「?? Lorraine want to meet you! Click Here:」
と書かれています。
訳すと「ロレインはあなたに会いたいです!ここをクリック」
そんな名前ありますかいな?
メールアドレス以外は全てでたらめで「お問い合わせ内容」なんか「827bxhm1」って
パスワードのような文字が書かれています。

このメールには、頭とお名前のところにリンク先が直書きされています。
そのリンク先のURLがこちらです。

これって昨日ご紹介したフィッシング詐欺メールと同じドメインですね。

このサイトの危険度をトレンドマイクロの「サイトセーフティーセンター」で確認した
ところ「安全」と表示されました。

それもそのはず、このサイトは既にアクセスできなくなっていました。

サイトは、ロシア語でこのように書かれています。
「アドレスがブロックされました利用規約に違反しているため、
アクセスしようとしているアドレスがブロックされています。」

サイトはブロックされていてもドメインは生きています。
では、ここで使われているドメイン”clck.ru”について調べてみました。

”.ru”は、ロシア連邦の国別コードトップレベルドメイン。
”created: 2007-08-13T20:00:00Z”と書かれているのでずいぶん昔から使われているようです。
割り当ているIPアドレスが”213.180.204.221”と言うことなので、このIPアドレスの所在地を
確認してみました。

プロバイダーは、ロシアにある「Yandex LLC」で、このIPアドレスの所在はモスクワ。
もちろんこのドメインも乗っ取られたものの可能性もあります。
サイトはブロックされましたが、昨日のリンク先からすると、このURLもリダイレクトされ
他のマルウエアが仕込まれたエロサイトにつながったと思います。


まとめ

2日連続でのアダルトフィッシング詐欺メールでしたね。
この感じからすると、しばらく続くかもしれんせんので注意が必要です。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールcdt-1998.com,Ciseaux de Tailleur,clck.ru,INTERQ,IPアドレス,Lorraine want to meet you!,Message ID,Received,Return-Path,Site Safety Center,SMS,SPAM,users004.phy.heteml.jp,Yandex,アダルト,エロサイト,お問い合わせありがとうございます,サイバーアタック,サイバー犯罪,スミッシング,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,マルウェア,モスクワ,ロシア,ワードサラダ,乗っ取り,仕立て屋のはさみ,偽サイト,拡散希望,注意喚起,渋谷区桜丘町,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart


よろしければシェアお願いします

  • Twitter
  • Facebook
  • Pin it
  • LinkedIn
  • Pocket
『詐欺メール』「【ジャックスカード】重要なお知らせ」と、来た件
Next
『詐欺メール』hinokikensetsuから「お問合せありがとうございます」と、来た件
Prev

関連記事

Thumbnail of related posts 156

『詐欺メール』「Amazon.co.jp重要なお知らせ」と、来た件

閉鎖してるからって安心しないで! ※ご注意ください! このブログエントリーは、フ ...

Thumbnail of related posts 026

『詐欺メール』「【American Express】カードの不正使用防止ご本人確認のお知らせ」と、来た件

国内勢の仕業だった ※ご注意ください! このブログエントリーは、フィッシング詐欺 ...

Thumbnail of related posts 148

『詐欺メール』「ヨドバシ・ドット・コム:確認情報を取得できませんでした」と、来た件

「ヨドバシ・ドット・コム」騙り大発生中?! ※ご注意ください! 当エントリーは迷 ...

Thumbnail of related posts 142

『詐欺メール』「【TS CUBIC CARD】本人情報緊急確認」と、来た件

”緊急”と付けりゃ焦るとでも? ※ご注意ください! 当エントリーは迷惑メールの注 ...

Thumbnail of related posts 164

『詐欺メール』「失敗したメッセージ 」と来た件

胡散臭すぎ アホ草 これ「この間エントリー」書いた内容と全く一緒やん( ˘ω˘ ...

この記事のトラックバックURL

サイト内検索

Google検索

2025年5月
日 月 火 水 木 金 土
 123
45678910
11121314151617
18192021222324
25262728293031
« 4月    

アーカイブ

カテゴリー

Thumbnail of new posts 042

2025年5月31日 : 迷惑メール

『詐欺メール』『【au】ポイントが間もなく失効します|ご確認ください』と、来た件

★フィッシング詐欺メール解体新書★ スマホやタブレットが普及し増々便利になる私た ...
Thumbnail of new posts 155

2025年5月31日 : 迷惑メール

『詐欺メール』『【Apple】ご利用料金の返金について』と、来た件

★フィッシング詐欺メール解体新書★ スマホやタブレットが普及し増々便利になる私た ...
Thumbnail of new posts 126

2025年5月31日 : 迷惑メール

『詐欺メール』『【お知らせ】Amazon Prime の支払いに失敗しました。支払方法を更新してください』と、来た件

★フィッシング詐欺メール解体新書★ スマホやタブレットが普及し増々便利になる私た ...
Thumbnail of new posts 053

2025年5月29日 : 迷惑メール

『詐欺メール』SBI証券から『【最終警告】本人認証未設定のため、取引機能が制限されています』と、来た件

★フィッシング詐欺メール解体新書★ スマホやタブレットが普及し増々便利になる私た ...
Thumbnail of new posts 109

2025年5月28日 : 迷惑メール

『詐欺メール』三井住友カードから『6月お支払金額確定のお知らせ』と、来た件

★フィッシング詐欺メール解体新書★ スマホやタブレットが普及し増々便利になる私た ...

Copyright © 2012 HEARTLAND All Rights Reserved.

WordPress Luxeritas Theme is provided by "Thought is free".

  • 
    ホーム
  • 
    メニュー
  • 
    上へ
 TOP