『詐欺メール』「「えきねっと」サービスが一時停止されました。」と、来た件

迷惑メール

私の守備範囲はJR東海ですが…
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

「えきねっと」の詐欺メール多すぎ

相変わらず「えきねっと」のフィッシング詐欺メールが大発生中ですね。
今朝もまずこの「えきねっと」の名を借りた詐欺メールのご紹介です。

詐欺メールではよくあることですが、どことなく日本語に違和感のあるこのメール。

件名は
「[spam] 「えきねっと」サービスが一時停止されました。」
「えきねっと」はJR東日本が管理運営するインターネットサービス。
私の守備範囲は東海地方でそのユーザーではありません。(笑)
それに件名には”[spam]”とスタンプが付けられているので迷惑メールの類なのは一目瞭然。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「えきねっと <eki-customer9@nlugjoc.cn>」
毎回同じくだりで申し訳ありませんが、初めての方もいらっしゃると思うのでこれだけは
やらしてください。(笑)
「えきねっと」さんには”eki-net.com”と言う立派な自社ドメインが有ります。
国内の巨大企業が自社ドメインではないメールアドレスでユーザー宛にメールを送ることは
絶対にありません。
それになんですか”nlugjoc.cn”なんて中国ドメインじゃないですか…


シンガポールのサーバーから発信

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<eki-customer9@nlugjoc.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<202203172150404145727@nlugjoc.cn>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from nlugjoc.cn (unknown [137.220.216.28])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、差出人のおメールアドレスの真偽について調べてみます。
使われていたドメインは”nlugjoc.cn”このドメインを割当てているIPアドレスを調べます。

割当てているIPアドレスは”137.220.216.28”と出ています。
Received”にあるものと同じなので、メールアドレスの偽装はありません。

このドメインの持ち主は、漢字2文字の氏名の方で、管理はアリババに委託されています。
このIPアドレスを元にその割り当て地を確認してみます。

シンガポールの地図が表示されていますので、このメールはシンガポールにあるサーバーが
発信元のようです。


偽サイトはロスで運営

続いて本文です。

日頃より「えきねっと」をご利用いただきありがとうございます。

私たちは、あなたのアカウント情報の一部が誤っていることをお知らせしたいと思います。

「えきねっと」サービスが一時停止されました。

引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。

いちいち言及はしませんが、あちらこちら日本語の表現に難があるこのメールは、機械翻訳
されたものだと想像が付きます。
このつたない日本語を駆使して誘い込むリンクは「→ご変更はこちらから」と書かれた部分に
付けられています。
そのリンク先のURLはこちら。

まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
すると、既に「危険」なサイトとして認識されており、そのカテゴリは「詐欺サイト」です。

このサイトのURLで使われているドメインはサブドメインを含め”www.eki-net.montaly.shop
このドメインについても調べてみました。

何かトラブルがあるようでドメインの詳細は取得できませんでした。

このドメインをドメインを割当てているIPアドレスは”155.94.143.126”と言うことなので
こちらを追ってみることにします。

表示されたのはアメリカのロサンゼルス近郊の地図。

この地で運営されているフィッシング詐欺サイトがこちらです。

これは「えきねっと」さんの偽サイトですから、ログインしてはいけません。(;^_^A


まとめ

「えきねっと」のフィッシング詐欺メールが最初に届いてからやく2週間。
相変わらず毎日数通づつ届き続けています。
もうそろそろ詐欺メールであることが浸透してきていると思うのですが、気の長い詐欺師です。
これに便乗した、JR各社のフィッシング詐欺メールも確認されていますのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました