仕立て屋のはさみ?!昨日ご紹介した「ヒノキ建設」を装い、問い合わせの確認メールを騙ったフィッシング詐欺 メールは、マルウェアーが埋め込まれたエロサイトへ誘いこむものでした。 一夜明けて今朝は、同じような内容のメールが届いております。 では、メールのプロパティーから見ていきましょう。 件名は 「『Ciseaux de Tailleur』にお問い合わせありがとうございます。」 このメールは明らかにフィッシング詐欺メールなのに、いつも付いてる”[spam]”とスタンプが 付けられていません。 うちのサーバー時々チョンボするんですよね。。。(;^_^A もちろん私は、どこにも問合せした記憶はありません。 差出人は 「Ciseaux de Tailleur <info@cdt-1998.com>」 「Ciseaux de Tailleur」とは、フランス語で「仕立て屋のはさみ」と言う意味だそうです。 このメールアドレスは偽装されている可能性が大! では、このメールのヘッダーソースを確認し偽装かどうか調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<caako717@users004.phy.heteml.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 普通なら、差出人と同じアドレスになるはずですが… この時点で、差出人のメールアドレスにあるドメイン”cdt-1998.com”と異なる ドメインが使われたメールアドレスが記載されていますよねから偽装であることが 容易に判断できます。 | Message-ID:「<e73d8a19d01bd333a42fe064be2c5dcd@cdt-1998.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from users004.phy.heteml.jp (users004.phy.heteml.jp [157.7.44.142])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Return-Path”と”Received”に書かれているドメインは同じものでしたので恐らくこの 差出人の本当のメールアドレスドメインは”users004.phy.heteml.jp”で割当てている IPアドレスは”Received”に書かれている”157.7.44.142”です。 では、この”Received”にあったIPアドレスを使って、持ち主とそのサーバーの情報を 拾ってみます。 ぼかしてありますが、どうやらこのドメインはムームードメインが管理している模様。 そしてこのIPアドレスは、GMO系のプロバイダー「INTERQ」が所有するもので所在地を 調べると「東京都渋谷区桜丘町」 これはINTERQのサーバー位置かも知れません。 ただし、この”users004.phy.heteml.jp”ってドメインももしかしたら乗っ取られたものかも 知れませんので、一概に差出人ご本人の持ち物とは限りませんので悪しからず。
リンク先はロシアのアダルトサイトでは、本文です。 文頭とお名前のところに書かれているのはなぜだか英文で 「?? Lorraine want to meet you! Click Here:」 と書かれています。 訳すと「ロレインはあなたに会いたいです!ここをクリック」 そんな名前ありますかいな? メールアドレス以外は全てでたらめで「お問い合わせ内容」なんか「827bxhm1」って パスワードのような文字が書かれています。 このメールには、頭とお名前のところにリンク先が直書きされています。 そのリンク先のURLがこちらです。 これって昨日ご紹介したフィッシング詐欺メールと同じドメインですね。 このサイトの危険度をトレンドマイクロの「サイトセーフティーセンター」で確認した ところ「安全」と表示されました。 それもそのはず、このサイトは既にアクセスできなくなっていました。 サイトは、ロシア語でこのように書かれています。 「アドレスがブロックされました利用規約に違反しているため、 アクセスしようとしているアドレスがブロックされています。」 サイトはブロックされていてもドメインは生きています。 では、ここで使われているドメイン”clck.ru”について調べてみました。 ”.ru”は、ロシア連邦の国別コードトップレベルドメイン。 ”created: 2007-08-13T20:00:00Z”と書かれているのでずいぶん昔から使われているようです。 割り当ているIPアドレスが”213.180.204.221”と言うことなので、このIPアドレスの所在地を 確認してみました。 プロバイダーは、ロシアにある「Yandex LLC」で、このIPアドレスの所在はモスクワ。 もちろんこのドメインも乗っ取られたものの可能性もあります。 サイトはブロックされましたが、昨日のリンク先からすると、このURLもリダイレクトされ 他のマルウエアが仕込まれたエロサイトにつながったと思います。
まとめ2日連続でのアダルトフィッシング詐欺メールでしたね。 この感じからすると、しばらく続くかもしれんせんので注意が必要です。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |