これは、ある意味ヤバいメールです「えきねっと」を騙ったメールが大量に出回っています。 巧妙なものが多く、某知恵袋でも自分にも届いただとか、実際に被害に遭ったなんて話も 掲載されたりしています。 不謹慎ですが、そんな中でもこのようなちょっと笑えてしまうようなある意味ヤバいメールも 届いたりしています。 どこがヤバいのか一緒に見ていきましょう! 件名は 「[spam] 【重要】えきねっとアカウントの自動退会処理について」 この件名で以前にもブログエントリー出したことあるのですが、その時とは本文の内容が 異なるので、今回は改めてエントリーさせていただきました。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Demaecan” <notice@demae-can.com>」 ね、おかしいでしょ?(笑) これ、本気でやってるならかなりヤバいです! そう言えば、先日「出前館」に成りすましたフィッシング詐欺メールでエントリー1つ 出しましたよね。 差出人は、あまりに色々な詐欺メールを作りすぎて、混同してしまったのでしょうか?(笑)
天安門広場の東側に何がある?では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<jreast-update@ai2am2.shop>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが「えきねっと」でも 「出前館」でもないメールアドレスになってしまっていますね。(;’∀’) | Message-ID:「<20220325100026217243@ai2am2.shop>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ai2am2.shop (ai2am2.shop [117.50.7.3])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその割り当て地を確認してみます。 ピンの位置は、天安門広場の東側。 詐欺メールサーバーの設置場所として最近のトレンドですね。
半角スペース多すぎでは、本文。 なぜだか不気味な半角スペースが多数。 「ワードサラダ」になってるのかなと思って表示をプレーンテキストに切換えてみましたが そうでもない感じ。 何の意味があるのでしょうね? そしてダメ押しは、このくだり。 2か月以上ログインしていないお客さまで、今後も「えきねっと」を ご利用いただける場合 は、 よりも前に、一度ログイン操作をお願いいたします。 |
この「よりも前に」って何より前になのでしょうか? きっとあっちこっちのメールから文字を貼り付けてメールを作っているのでコピペの際に 文字を取りこぼしてしまったんでしょうね。 このようなヤバいメールにもちゃんと詐欺サイトへのリンクが張られています。 直書きされたリンク先のURLはこちら。 ”eki-net.com”って「えきねっと」さんの正規ドメインですが、そんなはずありません。 このリンクはHTMLで偽装されていて本当に接続されるリンク先のURLはこちら。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみると。 既に危険なサイトとして登録されており、そのカテゴリは「フィッシング」と評価されて いました。 このURLで使われているドメインは”eki-smit-net.club” このドメインの情報を取得してみました。 大した情報は得られませんでしたね。(;^_^A このドメインを割当てているIPアドレスは”208.70.74.197” このIPアドレスを元にその割り当て地を確認してみます。 そこが、詐欺サイトを営むウェブサーバーの設置場所となります。 表示された地域は、アメリカカリフォルニア州オレンジ付近。 危険を承知で、安全な方法を使ってそのサイトを覗いてみました。 ウイルスバスターに一旦は遮断されましたが、「えきねっと」に偽のログインページが 開きました。 まぁあのメールでここまでたどり着く人がどれだけいるか分かりませんが、絶対にログイン してはいけません。
まとめ送信する前に確認しないんでしょうかね? せっかくのメールが台無しです(笑) 「えきねっと」さんには申し訳ありませんが、「えきねっと」と題して送られてくるメールは 詐欺メールの可能性が大きいので、開かずゴミ箱直行が良さそうですよ! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |