HEARTLAND

The Endress Run

  • ホーム
  • Myself
  • お問合せページ
  • サイトマップ
  • プライバシーポリシー
  •   RSS 
  •   Feedly 
  1. ホーム>
  2. デジタル>
  3. 迷惑メール

『詐欺メール』「『Ciseaux de Tailleur』にお問い合わせありがとうございます。」と、来た件

2022年2月7日

  • Twitter
  • Facebook
  • Pin it
  • LinkedIn
  • Pocket

2日連続で
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

仕立て屋のはさみ?!

昨日ご紹介した「ヒノキ建設」を装い、問い合わせの確認メールを騙ったフィッシング詐欺
メールは、マルウェアーが埋め込まれたエロサイトへ誘いこむものでした。
一夜明けて今朝は、同じような内容のメールが届いております。

では、メールのプロパティーから見ていきましょう。

件名は
「『Ciseaux de Tailleur』にお問い合わせありがとうございます。」
このメールは明らかにフィッシング詐欺メールなのに、いつも付いてる”[spam]”とスタンプが
付けられていません。
うちのサーバー時々チョンボするんですよね。。。(;^_^A
もちろん私は、どこにも問合せした記憶はありません。

差出人は
「Ciseaux de Tailleur <info@cdt-1998.com>」
「Ciseaux de Tailleur」とは、フランス語で「仕立て屋のはさみ」と言う意味だそうです。
このメールアドレスは偽装されている可能性が大!

では、このメールのヘッダーソースを確認し偽装かどうか調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<caako717@users004.phy.heteml.jp>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
普通なら、差出人と同じアドレスになるはずですが…
この時点で、差出人のメールアドレスにあるドメイン”cdt-1998.com”と異なる
ドメインが使われたメールアドレスが記載されていますよねから偽装であることが
容易に判断できます。

Message-ID:「<e73d8a19d01bd333a42fe064be2c5dcd@cdt-1998.com>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from users004.phy.heteml.jp (users004.phy.heteml.jp [157.7.44.142])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

”Return-Path”と”Received”に書かれているドメインは同じものでしたので恐らくこの
差出人の本当のメールアドレスドメインは”users004.phy.heteml.jp”で割当てている
IPアドレスは”Received”に書かれている”157.7.44.142”です。
では、この”Received”にあったIPアドレスを使って、持ち主とそのサーバーの情報を
拾ってみます。

ぼかしてありますが、どうやらこのドメインはムームードメインが管理している模様。
そしてこのIPアドレスは、GMO系のプロバイダー「INTERQ」が所有するもので所在地を
調べると「東京都渋谷区桜丘町」
これはINTERQのサーバー位置かも知れません。

ただし、この”users004.phy.heteml.jp”ってドメインももしかしたら乗っ取られたものかも
知れませんので、一概に差出人ご本人の持ち物とは限りませんので悪しからず。


リンク先はロシアのアダルトサイト

では、本文です。

文頭とお名前のところに書かれているのはなぜだか英文で
「?? Lorraine want to meet you! Click Here:」
と書かれています。
訳すと「ロレインはあなたに会いたいです!ここをクリック」
そんな名前ありますかいな?
メールアドレス以外は全てでたらめで「お問い合わせ内容」なんか「827bxhm1」って
パスワードのような文字が書かれています。

このメールには、頭とお名前のところにリンク先が直書きされています。
そのリンク先のURLがこちらです。

これって昨日ご紹介したフィッシング詐欺メールと同じドメインですね。

このサイトの危険度をトレンドマイクロの「サイトセーフティーセンター」で確認した
ところ「安全」と表示されました。

それもそのはず、このサイトは既にアクセスできなくなっていました。

サイトは、ロシア語でこのように書かれています。
「アドレスがブロックされました利用規約に違反しているため、
アクセスしようとしているアドレスがブロックされています。」

サイトはブロックされていてもドメインは生きています。
では、ここで使われているドメイン”clck.ru”について調べてみました。

”.ru”は、ロシア連邦の国別コードトップレベルドメイン。
”created: 2007-08-13T20:00:00Z”と書かれているのでずいぶん昔から使われているようです。
割り当ているIPアドレスが”213.180.204.221”と言うことなので、このIPアドレスの所在地を
確認してみました。

プロバイダーは、ロシアにある「Yandex LLC」で、このIPアドレスの所在はモスクワ。
もちろんこのドメインも乗っ取られたものの可能性もあります。
サイトはブロックされましたが、昨日のリンク先からすると、このURLもリダイレクトされ
他のマルウエアが仕込まれたエロサイトにつながったと思います。


まとめ

2日連続でのアダルトフィッシング詐欺メールでしたね。
この感じからすると、しばらく続くかもしれんせんので注意が必要です。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールcdt-1998.com,Ciseaux de Tailleur,clck.ru,INTERQ,IPアドレス,Lorraine want to meet you!,Message ID,Received,Return-Path,Site Safety Center,SMS,SPAM,users004.phy.heteml.jp,Yandex,アダルト,エロサイト,お問い合わせありがとうございます,サイバーアタック,サイバー犯罪,スミッシング,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,マルウェア,モスクワ,ロシア,ワードサラダ,乗っ取り,仕立て屋のはさみ,偽サイト,拡散希望,注意喚起,渋谷区桜丘町,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart


よろしければシェアお願いします

  • Twitter
  • Facebook
  • Pin it
  • LinkedIn
  • Pocket
『詐欺メール』「【ジャックスカード】重要なお知らせ」と、来た件
Next
『詐欺メール』hinokikensetsuから「お問合せありがとうございます」と、来た件
Prev

関連記事

『詐欺メール』『【楽天証券】口座開設申込未完了のご連絡/お客様情報の入力に進んでください』と、来た件

★フィッシング詐欺メール解体新書★ スマホやタブレットが普及し増々便利になる私た ...

『詐欺メール』MyEtherWalletから「8000個のStellargoトークンを受け取ることができます」と、来た件

トークンプレゼントが最近のトレンド !ご注意! 当エントリーは迷惑メールの注意喚 ...

『詐欺メール』「【SAISONカード会員サービス】利用のお知らせ」と、来た件

万石の詐欺メール ※ご注意ください! このブログエントリーは、フィッシング詐欺メ ...

『詐欺メール』「【VISAカード】重要なお知らせ」と、来た件

週明けのメールボックスは恐ろしいことに... ※ご注意ください! 当エントリーは ...

『詐欺メール』『【みずほ銀行】お客さま情報等の確認について』と、来た件

『お客さま情報等の確認』にご注意! スマホやタブレットが普及し増々便利になる私た ...

この記事のトラックバックURL

Copyright © 2012 HEARTLAND All Rights Reserved.

WordPress Luxeritas Theme is provided by "Thought is free".