存在しないメールアドレスから?!フィッシング詐欺メールって偏る傾向があって、今朝はアメリカンエキスプレスを騙った メールが2通入っています。…アマゾンは別にしてね(笑) 今朝ご紹介したいのはこちらのメール。 もちろんパスワードの変更はおろか、私はこのアメリカンエキスプレスのクレジットカード なんて持っておりません。 これは、意図しないパスワードの変更に慌てて冷静さを失ったユーザーにリンクを押させ 詐欺サイトへ導くためのメールです。 では、このメールのプロパティーから見ていきましょう! まずは件名。 「[spam] AMERICAN EXPRESS:パスワード再設定完了のお知らせ」 このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”American Express” <nsgmdgvhzq@kanagawa-kyujin.net>」 使われているドメインは”kanagawa-kyujin.net” 確か先日ご紹介したこのエントリーでも同じようなドメインが使われていました。 『詐欺メール』立て続けに「【American Express】次回口座振替のお知らせ」と、来た件
あの時は”shonan-kyujin.com” 共通点は「神奈川県」と、「求人」 差出人は、これに何かゆかりがあるのかそれとも恨みでもあるのでしょうか? ただし、このメールアドレスがご本人の物かどうか…偽装されているかもしれませんし もっと言えば、こんなドメイン存在しないかもしれませんよ! ってことで、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<nsgmdgvhzq@kanagawa-kyujin.net>」 ここにも”kanagawa-kyujin.net”と書かれていますね。 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<A0F9416BBFF892020B4E17C27D05400A@kanagawa-kyujin.net>」 更にここにも”kanagawa-kyujin.net” あくまでこのドメインだと言い張るんですね(笑) ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from kanagawa-kyujin.net (unknown [133.242.52.242])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
の”Received”にあったIPアドレス”133.242.52.242”に”kanagawa-kyujin.net”が割当てられて いればこの方の言い分を認めますが… さてどうでしょうか? ではドメイン”kanagawa-kyujin.net”はどんなIPアドレスに割当てられているんでしょうか? 結果はご覧の通り…(;’∀’) このドメインの利用者はいませんでした。 ご自身のメールアドレスでもなく、誰かのメールアドレスを偽装したわけでもなく、単に 架空のメールアドレスを使ったことになりますね。 ”Received”にあったIPアドレス”133.242.52.242”は、差出人が利用したメールサーバーの IPアドレスです。 では、今度はこのIPアドレスが割当てられている地域とそのプロバイダー等を確認して みます。 この結果、差出人の利用しているプロバイダーは「さくらインターネット」で 利用されたメールサーバーの設置場所は「長野県上田市長和町」付近のようです。 それにこのIPアドレスの危険度を示す脅威レベルは「高」とされていて メールによるサイバーアタックとして知られている様子です。
よく見るとスペルが違う!引続き本文を見ていきます。 味気の無いテキストばかりの文章です。 特にこれと言っておかしな個所は見受けられませんね。 ただ、よく見るとリンクのURLにあるアメリカンエキスプレスのスペルが間違ってるような… URLのドメインは「americxzanexpress」 本物のドメインは「americanexpress」 全然違うし…(笑) 慌ててるとそんなのしっかり見ないでしょうけどね(^^;) さて、そんなだまし絵のようなドメインを使ったサイトの危険性はどうなんでしょうか? ノートンの「セーフウェブレポート」で確認してみました。 まだあまり知られていないようで「注意」と評されています。 では、このドメイン”americxzanexpress.com”は誰の持ちものでどこで使われているので しょうか? 早速調べてみました。 このドメインは、中国広東省鶴山市(かくざんし)在住の個人所有で、取得日は昨日。 このためだけに取得したものできっと使い捨てでしょう。 このドメインを割当てているIPアドレスは”115.144.69.69”とされています。 次にこのIPアドレスが割当てられている地域を確認してみました。 隣国の首都の地図が表示されました。 そう、さくらインターネットユーザーと隣国の首都はセットでしたね。 もちろんリンク先はアメリカンエキスプレスの偽サイトですからご注意を。
まとめもし本当にこのクレジットカードのユーザーだったら慌てふためいてしっかり確認せずに リンクをポチってしまうかも知れません。 ショッピングサイトとクレジットカード会社からのメールには特に注意してください! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |