『詐欺メール』「『Ciseaux de Tailleur』にお問い合わせありがとうございます。」と、来た件

仕立て屋のはさみ？！

昨日ご紹介した「ヒノキ建設」を装い、問い合わせの確認メールを騙ったフィッシング詐欺
メールは、マルウェアーが埋め込まれたエロサイトへ誘いこむものでした。
一夜明けて今朝は、同じような内容のメールが届いております。

では、メールのプロパティーから見ていきましょう。

件名は
「『Ciseaux de Tailleur』にお問い合わせありがとうございます。」
このメールは明らかにフィッシング詐欺メールなのに、いつも付いてる”[spam]”とスタンプが
付けられていません。
うちのサーバー時々チョンボするんですよね。。。(;^_^A
もちろん私は、どこにも問合せした記憶はありません。

差出人は
「Ciseaux de Tailleur <info@cdt-1998.com>」
「Ciseaux de Tailleur」とは、フランス語で「仕立て屋のはさみ」と言う意味だそうです。
このメールアドレスは偽装されている可能性が大！

では、このメールのヘッダーソースを確認し偽装かどうか調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

”Return-Path”と”Received”に書かれているドメインは同じものでしたので恐らくこの
差出人の本当のメールアドレスドメインは”users004.phy.heteml.jp”で割当てている
IPアドレスは”Received”に書かれている”157.7.44.142”です。
では、この”Received”にあったIPアドレスを使って、持ち主とそのサーバーの情報を
拾ってみます。

ぼかしてありますが、どうやらこのドメインはムームードメインが管理している模様。
そしてこのIPアドレスは、GMO系のプロバイダー「INTERQ」が所有するもので所在地を
調べると「東京都渋谷区桜丘町」
これはINTERQのサーバー位置かも知れません。

ただし、この”users004.phy.heteml.jp”ってドメインももしかしたら乗っ取られたものかも
知れませんので、一概に差出人ご本人の持ち物とは限りませんので悪しからず。

リンク先はロシアのアダルトサイト

では、本文です。

文頭とお名前のところに書かれているのはなぜだか英文で
「?? Lorraine want to meet you! Click Here:」
と書かれています。
訳すと「ロレインはあなたに会いたいです！ここをクリック」
そんな名前ありますかいな？
メールアドレス以外は全てでたらめで「お問い合わせ内容」なんか「827bxhm1」って
パスワードのような文字が書かれています。

このメールには、頭とお名前のところにリンク先が直書きされています。
そのリンク先のURLがこちらです。

これって昨日ご紹介したフィッシング詐欺メールと同じドメインですね。

このサイトの危険度をトレンドマイクロの「サイトセーフティーセンター」で確認した
ところ「安全」と表示されました。

それもそのはず、このサイトは既にアクセスできなくなっていました。

サイトは、ロシア語でこのように書かれています。
「アドレスがブロックされました利用規約に違反しているため、
アクセスしようとしているアドレスがブロックされています。」

サイトはブロックされていてもドメインは生きています。
では、ここで使われているドメイン”clck.ru”について調べてみました。

”.ru”は、ロシア連邦の国別コードトップレベルドメイン。
”created: 2007-08-13T20:00:00Z”と書かれているのでずいぶん昔から使われているようです。
割り当ているIPアドレスが”213.180.204.221”と言うことなので、このIPアドレスの所在地を
確認してみました。

プロバイダーは、ロシアにある「Yandex LLC」で、このIPアドレスの所在はモスクワ。
もちろんこのドメインも乗っ取られたものの可能性もあります。
サイトはブロックされましたが、昨日のリンク先からすると、このURLもリダイレクトされ
他のマルウエアが仕込まれたエロサイトにつながったと思います。

まとめ

2日連続でのアダルトフィッシング詐欺メールでしたね。
この感じからすると、しばらく続くかもしれんせんので注意が必要です。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;