メールアドレスは偽装されています!イオン銀行に成りすまし、AEON CARDの第三者不正利用をネタに詐欺サイトへ誘導する フィッシング詐欺メールが届きました。 こちらがそのメールです。 もう見飽きてしまった本文と、Yaheiと呼ばれる気持ちの悪い中華フォントで綴られた このメール。 いつものようにプロパティーから見ていきましょう。 件名は 「[spam] 【重要なお知らせ】AEON ご利用確認のお願い」 「重要なお知らせ」前に付けられたスタンプ”[spam]”は、スパムスタンプと呼ばれるサーバー からの注意喚起で、これが付いているものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「AEON <userid@aeon.co.jp>」 確かに”aeon.co.jp”はAEONさんの正規ドメインですが、件名の”[spam]”が示す通り このメールは、フィッシング詐欺メールですから当然偽装工作されています。
さくらインターネットユーザーはご常連では、このメールのヘッダーソースを確認し偽装を暴いていきましょう。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<userid@aeon.co.jp>」 ここにも”aeon.co.jp”が使われていますね。 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220225093259021066@aeon.co.jp>」 更にここにもここにも”aeon.co.jp”が使われています。 あくまでAEONだと言い張るようですね。 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from userid0.aeon.co.jp (tk2-212-15914.vs.sakura.ne.jp [160.16.73.168])」 ここでボロが出ましたね、”sakura.ne.jp”と見えるのでこの差出人はどうやら いつものご常連さん、さくらインターネットユーザーのようです。 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。 やはり思った通り「さくらインターネット」のユーザーでした。 次にこのIPアドレスを元にその割り当て地を確認してみます。 さくらインターネット本社と同じ「大阪市北区梅田」とおおよそ同じ位置の地図が表示 されました。 どうやら差出人は「SAKURA-B」というサーバーに収容されたメールサーバーを利用した ようですね。 そして注目したいのは、このIPアドレスの脅威のレベルは「高」と認識されているようです。 その詳細は「メールによるサイバーアタック」 このメールは相当危なさそうです!
詐欺サイトの旬は短し!引き続き本文を見ていきます。 もう、毎回、毎回、嫌と言うほど見飽きた本文なのでいちいち説明は省きます。 このメールにある詐欺サイトへのリンクは4箇所。 当然そのリンク先はすべて同じサイト。 そのリンク先のURLはこちらです。 それらしいドメイン付いていますがAEONさんの正規ドメインは”aeon.co.jp”で ”aeon-jp.top”ではありません。 このリンク先サイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で 確認してみるとこのように表示されました。 安全性の評価は「危険」と書かれており、そのカテゴリは「フィッシング」 既に業界ではその危険性は周知されているようです。 ドメインの持ち主を調べてみましたが、登録者は中国江蘇省の方としか分かりませんでした。 試しに安全な方法でサイトを訪れてみましたが「詐欺サイトの旬は短し!」 危険を感じたんでしょう、残念ながらサイトは既に閉鎖されていました。
まとめ私のように大量の詐欺メールを捌いていれば一目でそれと分かりますが、今回は、差出人の メールアドレスが偽装されていたため、ぱっと見では判断が付きにくいメールでした。 それにサイトのURLも”ホモグラフ攻撃”されていたので見分けにくいものとなっていました。 最初にも書いたように、こういったリンクからログインを促すようなメールは絶対に信用せず スマホアプリかネット検索し正規サイトを探してログインするように心掛けましょう! (※ホモグラフ攻撃とは、正規サイトによく似たURLで詐欺サイトに誘い込むこと) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |