『詐欺メール』新「【重要】えきねっとアカウントの自動退会処理について」と、来た件

「えきねっと」と「出前館」って業務提携?
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

これは、ある意味ヤバいメールです

「えきねっと」を騙ったメールが大量に出回っています。
巧妙なものが多く、某知恵袋でも自分にも届いただとか、実際に被害に遭ったなんて話も
掲載されたりしています。
不謹慎ですが、そんな中でもこのようなちょっと笑えてしまうようなある意味ヤバいメールも
届いたりしています。

どこがヤバいのか一緒に見ていきましょう!

件名は
「[spam] 【重要】えきねっとアカウントの自動退会処理について」
この件名で以前にもブログエントリー出したことあるのですが、その時とは本文の内容が
異なるので、今回は改めてエントリーさせていただきました。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"Demaecan" <notice@demae-can.com>」
ね、おかしいでしょ?(笑)
これ、本気でやってるならかなりヤバいです!
そう言えば、先日「出前館」に成りすましたフィッシング詐欺メールでエントリー1つ
出しましたよね。
差出人は、あまりに色々な詐欺メールを作りすぎて、混同してしまったのでしょうか?(笑)

天安門広場の東側に何がある?

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<jreast-update@ai2am2.shop>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが「えきねっと」でも
「出前館」でもないメールアドレスになってしまっていますね。(;’∀’)
Message-ID:「<20220325100026217243@ai2am2.shop>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from ai2am2.shop (ai2am2.shop [117.50.7.3])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンの位置は、天安門広場の東側。
詐欺メールサーバーの設置場所として最近のトレンドですね。

半角スペース多すぎ

では、本文。

なぜだか不気味な半角スペースが多数。
「ワードサラダ」になってるのかなと思って表示をプレーンテキストに切換えてみましたが
そうでもない感じ。
何の意味があるのでしょうね?

そしてダメ押しは、このくだり。

2か月以上ログインしていないお客さまで、今後も「えきねっと」を
ご利用いただける場合 は、 よりも前に、一度ログイン操作をお願いいたします。

この「よりも前に」って何より前になのでしょうか?
きっとあっちこっちのメールから文字を貼り付けてメールを作っているのでコピペの際に
文字を取りこぼしてしまったんでしょうね。

このようなヤバいメールにもちゃんと詐欺サイトへのリンクが張られています。
直書きされたリンク先のURLはこちら。

”eki-net.com”って「えきねっと」さんの正規ドメインですが、そんなはずありません。
このリンクはHTMLで偽装されていて本当に接続されるリンク先のURLはこちら。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみると。
既に危険なサイトとして登録されており、そのカテゴリは「フィッシング」と評価されて
いました。

このURLで使われているドメインは”eki-smit-net.club
このドメインの情報を取得してみました。

大した情報は得られませんでしたね。(;^_^A

このドメインを割当てているIPアドレスは”208.70.74.197
このIPアドレスを元にその割り当て地を確認してみます。
そこが、詐欺サイトを営むウェブサーバーの設置場所となります。

表示された地域は、アメリカカリフォルニア州オレンジ付近。

危険を承知で、安全な方法を使ってそのサイトを覗いてみました。

ウイルスバスターに一旦は遮断されましたが、「えきねっと」に偽のログインページが
開きました。
まぁあのメールでここまでたどり着く人がどれだけいるか分かりませんが、絶対にログイン
してはいけません。

まとめ

送信する前に確認しないんでしょうかね?
せっかくのメールが台無しです(笑)
「えきねっと」さんには申し訳ありませんが、「えきねっと」と題して送られてくるメールは
詐欺メールの可能性が大きいので、開かずゴミ箱直行が良さそうですよ!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メール【重要】えきねっとアカウントの自動退会処理について,ai2am2.shop,demae-can.com,Demaecan,eki-smit-net.club,https://www.eki-net.com/Personal/Top/Index,IPアドレス,Message ID,Received,Return-Path,Site Safety Center,SPAM,えきねっと,サイバーアタック,サイバー犯罪,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,偽サイト,出前館,拡散希望,注意喚起,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart