毎日毎日、うんざりする量のスパムメールが届いています。^^;
たまにネットに明るくない人からメールを見せられ真偽を尋ねられることがあるのですが、大抵は出来の悪いフィッシングメールばかりです。
聞かれればいくらでも調べますが、わざわざ聞かなくても大抵の場合は注意深く見れば判別できます。
で今日はネタかと思えるほどの出来の悪い判り易いメールが届いているのでご紹介します。
重要なメールの件名に「Re」(返信の意味)が付いてます。^^;
まるむしは楽天カードな訳が無いのでこれだけで偽メール確定です。
差出人がRakuten.co.jpとなっていますが、メールアドレスのドメイン(@から後ろ)が、dachengchang.cnと楽天とは無関係と分かる中国のドメインです。
よってこれだけで偽メール確定です。
※ .cn は中国の事。日本だと .jp ね。
宛先が、dm@XXXXXXXXとなっています。
宛先は届いているので当然正しいのですが、まるむしの場合は重要な取引先はそれ毎にメールアドレスを用意しているので別のアドレスに届いている段階で偽メール確定です。
今回は、dm@XXXXXXXはダイレクトメールの類が届く捨てアドレスとして用意したものなので、カード会社のメールが届くことは無いという事です。
皆さんも重要と、そうでないものの2種類ぐらいは使い分けた方が良いですよ。
まるむしの様に細かく分けた場合は、流出元を割り出すことも可能という効果もあります。
※dm@XXXXXXXはすでに流出している可能性が高いですね。
本文の宛名がメールアドレスですね。
実名が書かれていないのは不自然です。多分実名までは漏れていないのでしょう。
こんな書き出しのカード会社は無いので高確率で偽メールです。
丸印部分ですが、句読点が変ですね。「メ。」ってなんだよ!
かなり日本語が不自由なようです。こんなカード会社ないですよね。
高確率で偽メールです。まぁたまにおかしなメール飛ばしてくる会社もあるけどね。
IPアドレス等が空欄ですね。
手を抜きすぎです・^^;
今回はかなり出来は悪いですが、こんな感じで注意深く見ると何処かおかしな点が見つかることがほとんどです。
気を付けてくださいね。
ここからはちょっとだけ踏み込んで見てみましょう。
(もうちょっと詳しく出所など)
本文上にクリックする箇所がありますね。
絶対クリックしてはダメなのでソースを見ます。
リンクを見てみました。
rakuten.shopping-cia.jp/l となっています。
隔離環境を用意して飛んでみましたが何も表示されませんでした。
pingを飛ばしてみましたが帰ってきません。
ブロックしているのか、特定の条件が整っている場合のみアクセスさせるのか、もしかしてこのURLはただのダミーなのか、ちょっとそれ以上は判りません。
なおrakutenの文字は入っていますが、この部分はサブドメインで自由に設定できる部分なので何ら信頼に値しません。ドメインは、shopping-cia.jp です。
このドメインを調べてみましょう。
ドメインの情報は、whois情報と言って誰でも参照可能な情報です。
「whois」でぐぐるといくつかのドメイン管理会社が公開しているwhois検索が利用できるのでやってみてください。
※ドメインの種類によって、検索できるところとできないところがあります。
今回はjpドメインなので、たまたまヒットしたjpを扱っている jprs.jpのwhoisを使ってみました。
公開されているwhoisです。
名前や住所が出ていますね。でも早まっちゃいけません。
関口さんは犯人じゃないですよ。^^
本来は実名、実住所を掲載するものなのですが、
まるむしのように個人でドメインを取得した場合、個人情報をフルオープンにして問題が起きない訳が無い訳で、その場合は代理情報を公開します。
ドメインの管理会社が代理人です。今回はお名前コムが代理人ですね。
お名前コムは犯人を知ることができるはずですが、法的な手続きをとらない限り教えてはくれません。
本文の下部に楽天カードアプリのリンクがありましたね。
その部分のソースです。
リンク部分は、短縮URLで書かれていたのでどこに飛ぶか判りません。
謎のURLの飛び先を知りたい場合は、URLを代理で読み込んでくれるサイトが便利です。
まるむしはaguseというサイトをたまに利用します。
リンクを辿ると最終的には本家の楽天カードアプリのページに遷移するようになっていました。
どこを通過したか判りませんが、最終的に本家に繋がれば疑わない人も少なからずいるでしょうね。
通信をフックして、ログインとパスワードを抜き取る仕組みなんかはこんな感じに仕込みますよね。
最後にメールのヘッダー情報を見てみましょう。
ヘッダー情報というのはすべてのメールに付いている情報で、メールが届くまでの情報などが含まれています。
本文とは関係ないので普段は隠れていますが、メールソフトには表示する機能があるので、ある程度読み解けるようになっておくと不幸にならずに済むかもしれません。
こちらがヘッダー情報の一部を抜粋したものです。
X-mailerというのは、メールの送信に使用したメールソフトの名前です。
ここも偽装できるのですが、そこまで手が込んでいないようなので素直に読んでみましょう。
Foxmailというのは、中国産のメールソフトらしいです。
[cn]というのは国コードです。中国ですね。
抜粋箇所以外でも至る所にcnが出てくるのでほぼ間違いなく中国からやってきたフィッシングメールのようです。
とまぁちょっと調べるだけでも結構色々判るので勉強を兼ねてフィッシング対策をしてみても良いかもですね。
但し、添付ファイルには絶対手を付けないように。マルウェアが活性化する可能性大ですから。
(まぁ気が向いたら添付ファイルの調べ方なんかも…^^;)
それと今回のようなHTML型のメールには、スクリプト(プログラム)が埋め込まれている場合もあるので、メールはなるべくプレーンなテキストで見た方が良いです。
(時代の流れでそれも難しくなってきていますが、最低限実行禁止の設定で)
てな感じで今日はこの辺で終わりにします。^^
コメント