超過料金が発生をエサに!?auユーザーを狙い、通信量が超過し使い続けると超過料金が発生するのでリンク先から 解除の手続きをしろと詐欺サイトへ誘導するフィッシング詐欺メールが届きました。 では、こちらもプロパティーから見ていきます。 件名は 「[spam] auからの重要な知らせ【月間のデータ通信量の通信速度制限】」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”auto” <abxiopcaa@service.pztokp.cn>」 ”auto”ってもしかして「auトゥ」ってauからってこと?(笑) それにしても、自社ドメインを持つIT企業のauが”service.pztokp.cn”なんて中国のドメイン 使うでしょうか?(笑)
”service.pztokp.cn”はご本人の物では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<abxiopcaa@service.pztokp.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220327063830033867@service.pztokp.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from service.pztokp.cn (service.pztokp.cn [172.245.185.102])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず最初にメールアドレスにあったドメイン”service.pztokp.cn”が本当に差出人の 利用したメールサーバーの物か調べてみます。 このドメインを割当てているIPアドレスと”Received”に記載のIPアドレスが同じ 物であれば差出人のメールアドレスは正しいことになります。 ご覧の通りの結果です。 この結果から、差出人は自身のメールアドレスを使ってこのメールを送ってきたことに なります。 ”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。 今度は、このIPアドレスを元にその割り当て地を確認してみます。 ピンが立っているのはニューヨークのバッファロー付近です。 この付近が発信元のようですね。
リンクには2段階偽装が!?次に本文を見ていきましょう。 詳しく図に書いておきましたが、ユーザーの情報を知り尽くしたauが冒頭の宛名を 「auのお客様」ってのはいただけません。 これはフィッシング詐欺メールの1つの特徴ですから覚えておいてください。 「ご会員ID」ってのもへりくだりすぎてるような気がします。 auでは会員IDのことをauIDと呼んでいるはず。 ですから、会員IDと言う表現に無理があります。 このメールのフォントって違和感ありません? 私は見慣れてしまいましたが、最初の頃はものすごく違和感を感じていました。 このフォントは”Yahei”と呼ばれる中華フォント。 よく見ると「直接アクセスできない場合は」の「直」も漢字がおかしいですよね?(笑) さて、このメールにも御多分に漏れずフィッシングサイト行のリンクが設けられています。 そのリンク先のURLは直書きされていますが、これはリンク偽装で、実際はこちらのサイトへ リンクされます。 ここが詐欺サイトかなと思うと、でもこれにも偽装が施されていて、リダイレクトと言う 手法でこちらのサイトへ更に飛ばされる仕組みが施されていました。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認すると まだ、未評価とされており野放しにされています。 このURLで使われているドメインは、サブドメインを含めて”auto-kddl.ruttsech.shop” このドメインもメールアドレスと同様に情報を抽出してみます。 抽出された持ち主は、アメリカアリゾナ州フェニックスにある企業で、詐欺サイト調査の ご常連さんです。 このドメインを割当てているIPアドレスは”192.161.176.5” このIPアドレスの割り当て地を調べてみます。 ピンが立てられたのは、またまたロサンゼルスにあるリトルトーキョーにほど近い場所。 ほんとここにはたくさんの詐欺サイトを運営するサーバーが存在するようですね。(-_-;) リンク先のこのサイトへ、危険を承知で安全な方法を使い訪れてみると。 やはりウイルスバスターにブロックされることなくあっさりと接続されました。 フィッシング詐欺サイトが無防備な状態で野放しに慣れているのでとても危険な状態です。 間違っても絶対にログインしたりしないでください!
まとめ差出人のメールアドレスにさえ目が届けば、簡単に被害を防ぐことができるメールでした。 差出人のメールアドレスと、詐欺サイトのURLをよく見て詐欺被害に遭わないよう ご注意ください! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |