サイトアイコン HEARTLAND

『詐欺メール』「『Ciseaux de Tailleur』にお問い合わせありがとうございます。」と、来た件

2日連続で
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

仕立て屋のはさみ?!

昨日ご紹介した「ヒノキ建設」を装い、問い合わせの確認メールを騙ったフィッシング詐欺
メールは、マルウェアーが埋め込まれたエロサイトへ誘いこむものでした。
一夜明けて今朝は、同じような内容のメールが届いております。

では、メールのプロパティーから見ていきましょう。

件名は
「『Ciseaux de Tailleur』にお問い合わせありがとうございます。」
このメールは明らかにフィッシング詐欺メールなのに、いつも付いてる”[spam]”とスタンプが
付けられていません。
うちのサーバー時々チョンボするんですよね。。。(;^_^A
もちろん私は、どこにも問合せした記憶はありません。

差出人は
「Ciseaux de Tailleur <info@cdt-1998.com>」
「Ciseaux de Tailleur」とは、フランス語で「仕立て屋のはさみ」と言う意味だそうです。
このメールアドレスは偽装されている可能性が大!

では、このメールのヘッダーソースを確認し偽装かどうか調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<caako717@users004.phy.heteml.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
普通なら、差出人と同じアドレスになるはずですが…
この時点で、差出人のメールアドレスにあるドメイン”cdt-1998.com”と異なる
ドメインが使われたメールアドレスが記載されていますよねから偽装であることが
容易に判断できます。

Message-ID:「<e73d8a19d01bd333a42fe064be2c5dcd@cdt-1998.com>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from users004.phy.heteml.jp (users004.phy.heteml.jp [157.7.44.142])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

Return-Path”と”Received”に書かれているドメインは同じものでしたので恐らくこの
差出人の本当のメールアドレスドメインは”users004.phy.heteml.jp”で割当てている
IPアドレスは”Received”に書かれている”157.7.44.142”です。
では、この”Received”にあったIPアドレスを使って、持ち主とそのサーバーの情報を
拾ってみます。

ぼかしてありますが、どうやらこのドメインはムームードメインが管理している模様。
そしてこのIPアドレスは、GMO系のプロバイダー「INTERQ」が所有するもので所在地を
調べると「東京都渋谷区桜丘町」
これはINTERQのサーバー位置かも知れません。

ただし、この”users004.phy.heteml.jp”ってドメインももしかしたら乗っ取られたものかも
知れませんので、一概に差出人ご本人の持ち物とは限りませんので悪しからず。


リンク先はロシアのアダルトサイト

では、本文です。

文頭とお名前のところに書かれているのはなぜだか英文で
「?? Lorraine want to meet you! Click Here:」
と書かれています。
訳すと「ロレインはあなたに会いたいです!ここをクリック」
そんな名前ありますかいな?
メールアドレス以外は全てでたらめで「お問い合わせ内容」なんか「827bxhm1」って
パスワードのような文字が書かれています。

このメールには、頭とお名前のところにリンク先が直書きされています。
そのリンク先のURLがこちらです。

これって昨日ご紹介したフィッシング詐欺メールと同じドメインですね。

このサイトの危険度をトレンドマイクロの「サイトセーフティーセンター」で確認した
ところ「安全」と表示されました。

それもそのはず、このサイトは既にアクセスできなくなっていました。

サイトは、ロシア語でこのように書かれています。
「アドレスがブロックされました利用規約に違反しているため、
アクセスしようとしているアドレスがブロックされています。」

サイトはブロックされていてもドメインは生きています。
では、ここで使われているドメイン”clck.ru”について調べてみました。

.ru”は、ロシア連邦の国別コードトップレベルドメイン。
”created: 2007-08-13T20:00:00Z”と書かれているのでずいぶん昔から使われているようです。
割り当ているIPアドレスが”213.180.204.221”と言うことなので、このIPアドレスの所在地を
確認してみました。

プロバイダーは、ロシアにある「Yandex LLC」で、このIPアドレスの所在はモスクワ。
もちろんこのドメインも乗っ取られたものの可能性もあります。
サイトはブロックされましたが、昨日のリンク先からすると、このURLもリダイレクトされ
他のマルウエアが仕込まれたエロサイトにつながったと思います。


まとめ

2日連続でのアダルトフィッシング詐欺メールでしたね。
この感じからすると、しばらく続くかもしれんせんので注意が必要です。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了