『詐欺メール』「代金引換ブランドスーパーコピー N級品実物写真専門店448」と、来た件

heart

3年前

詐欺サイトはアメリカ西海岸に多し

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

メールアドレスまで偽物？！

今までにも何度かご紹介したことのあるスーパーコピー専門店からのメール。
このところ少ないなと思っていたら最近また目につくようになったのであらためて
ご紹介させていただこうと思います。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 代金引換ブランドスーパーコピー N級品実物写真専門店448」
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「代引きバック偽物 <xejibuxh@okcyykw.biz>」
「スーパーコピー」ならまだ聞こえが良いのですが、もろに「偽物」って名乗っています。
もしかしてこのメールアドレスも偽物？(笑)
ってなわけで、ドメイン”okcyykw.biz”について調べてみましょう！

ほらね！
「No Data Found」
こんなドメインは存在しません！！

メールは中国ハルビンから

いったいどこのどいつがこのようなメールを送っているのでしょうか？
では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<xejibuxh@okcyykw.biz>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<CF67EB51DC174EB8CF210600C1AC4B51@okcyykw.biz>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from okcyykw.biz (unknown [221.207.203.75])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレス”221.207.203.75”を使ってそのサーバーの情報を
拾ってみます。

出てきたのは「中国黒竜江省ハルビン」付近の地図です。
利用しているプロバイダーは「CNC Group CHINA169 Heilongjiang Province Network」
こんなところに置かれたメールサーバーを介してこのメールを配信しているんですね。

リンク先は危険なパチモンサイト

今度は本文を見ていきます。

って言うか、見ると言うほど書かれていないのですが…(笑)

まず気になったのは、宛名。
「xejibuxh様」ってあるんだけど「xejibuxh」ってダレ？
それより、差出人のメールアカウントにも同じく「xejibuxh」って書いてありますよ。
自分から自分に送ってるの？
訳が分かりません…(汗)

リンク先のURLがこのように直書きされていますね。

調べてもリンク偽装はありませんでした。

ではこのURLの危険性についてトレンドマイクロの「サイトセーフティーセンター」で
調べてみました。

結果はこの通り。
サイトの評価は「危険」とされておりその内容は以下の通りです。

個人または団体から信用を得た上で金銭などをだまし取ろうとするWebサイトです。
多くの場合、人間誰もが持つような欲望や同情などにつけ込む巧みな手口が使われます。

もちろんパチモンを売りさばくことは法に触れますが、それ以外にもスーパーコピー品
だとか言って、実際には品物が送られてこないとかなのでしょうか？
危険な臭いがプンプンしますね。(汗)

このURLで使われているドメインは”shopbagnoob.com”
このドメインの持ち主が犯人なのでしょうか？
持ち主と割り当て地域を調べてみました。

警戒しているんでしょうか、大した情報は取得できませんでしたね。
分かったのは、持ち主は中国の湖南省にお住まいの方。
そしてこのドメインを割当てているIPアドレスは”104.21.20.16”
このIPアドレスを元にその割り当て地を確認してみます。

表示されたのは「アメリカカリフォルニア州サンフランシスコ」付近。
利用しているプロバイダーは「Cloudflare, Inc.」
フィッシング詐欺サイトは何故だかアメリカ西海岸が断トツで多いのは何故でしょうか？

安全な方法でこのURLに接続してみました。

接続された途端に画面右端にウイルスバスターからの警告が表示されました。
やはりよっぽど危険なのかもしれませんね。
詐欺の他にもマルウェアとかが仕込まれているかも知れませんので危うきに近づかずです。

まとめ

久しぶりにスーパーコピーN級品サイトについて調べてみましたがいかがでしたでしょうか？
相も変わらず懲りずにメールを送ってきますが、こういう危険なサイトが涼しい顔して当たり前
のように営業ってのはどうなんでしょう？
きちんと取り締まっていただきたいものです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)