なぜ”メルカリ”と書かずに”Mercari”としたの?また馬鹿にしたようなフィッシング詐欺メールが届いたので早速ご紹介しようと思います。 メルカリに成りすましたフィッシング詐欺メールですが、気持ち悪いフォントですよね。 Yaheiと呼ばれる中華フォントが使われています。 では、いつものようにメールのプロパティーから。 件名は 「[spam] 【重要】Mercariセキュリティ警告:サインイン試行が検出されました。」 なぜ”メルカリ”と書かずに”Mercari”としたのでしょうか? ぱっと見メルカリだとは分かりませんよね? まず、このメールには”[spam]”とスタンプが付けられているので迷惑メールの類。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 問題の差出人は 「”Amazon” <support@jfr00.cn>」 こんなの子供でも分かると思いますが、なぜ件名でメルカリと名乗っておきながらの “Amazon“なんでしょうか? 絶対分かっててやっていると思いますよ、こんなの…
IPアドレスからサーバーの位置を調査では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<support@jfr00.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220303102712000450@jfr00.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from o8ljp.cn (hwsrv-945428.hostwindsdns.com [23.254.166.229])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
ではまず、差出人のメールアドレス”support@jfr00.cn”の虚偽を調べてみることにします。 割当ててるIPアドレスは”23.254.166.229”で”Received”に記載されているものと同じ。 なのでこの差出人のメールアドレス”support@jfr00.cn”は正しいことが分かります。 ついでにこのドメインの持ち主を見てみると、私ではよく事のできない難しい漢字が使われた 氏名の方。 そしてこのIPアドレスを元にその割り当て地を確認してみると、その地はアメリカのシアトル。 この差出人は、こんなところに設置されたメールサーバーを起点にこのメールを送ってきた ようです。
詐欺サイトは既に初期化済み続いて本文。 この本文によると、第三者不正利用の疑いがあるのでリンク先からアカウントを確認しろ と言った内容です。 そのリンクは「更新 をクリックします」と書かれた赤いボタンに付けられています。 そのリンク先のURLはこちら。 まずは、このリンク先の危険性についてGoogleの「セーフブラウジング」で確認してみました。 これによると、このサイトは既に危険なサイトとして認識されているようです。 サイトのURLに使われているドメインは、サブドメインを含めて”yy-meircarids.ddns.net” ”ddns.net”ですからこのサイトのドメインは、アメリカの無料ドメイン提供サイトNo-IPで 取得されていますね。 その辺を含め、このドメインの情報を確認してみます。 やはりダイナミックDNSのNo-IPと記載されていますね。 このドメインを割当てているIPアドレスは”34.97.60.218” このIPアドレスを元にその割り当て地を確認してみます。 ロサンゼルスだと思いきや、なんと大阪市の地図が表示されてしまいました。 プロバイダー名に”Google LLC”と書かれているので、Googleが提供するウェブツール内に 詐欺サイトを構築しているようです。 サイトを訪れてみると、まずこのようにChromeから遮断されました。 安全な方法で先に進んでみましたが、結局サイトは既に初期化されていました。 翻訳してみると、書かれているのはこのような内容でした。 おめでとうございます、サイトは正常に作成されました! これはデフォルトのindex.htmlであり、このページはシステムによって自動的に生成されます FTPルートディレクトリにあるこのページのindex.html このページを変更、削除、または上書きすることができます FTP関連の情報については、「パネルシステムの背景> FTP」に移動して表示してください。 |
きっと、危なくなってトンズラでもしたのでしょう。
まとめまさかメルカリがアマゾンを名乗ってメールを送って来るとは恐れ入りました。 もう既にサイトは初期化されていますので、これ以上の被害は発生しないと思います。 って言うか、こんなメールじゃ誰もそこまで進みませんよね…(笑) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |