[詐欺・迷惑メール晒し] #1 スクウェアエニックスを名乗るフィッシングメール

GMailの迷惑メールフィルターって結構優秀で、フィッシングメールもしっかりフィルタリングしてくれます。哀れにも迷惑メールフィルターに引っかかったメールを、注意啓発をかねて晒していこうと思います。

※怪しいメールを発見しても、むやみに添付ファイルを開いたり本文中のURLにアクセスすることは大変危険です。ダメ、ゼッタイ。

まずメールソースはこちら。私のメールアドレスを隠している以外はすべて原文ママです。
GitHub Gistで見る ボディ部がとっても読みにくいですね・・・ 普通のメーラーならHTMLメールを送るとき、Content-Typeをmultipart/alternativeにしてプレーンテキストとHTMLを両方送るのですが、このメールはContent-Typeはtext/htmlとしてHTMLだけ送っています。

Content-Type: text/html;charset=”GB2312″

さらに、charset="GB2312"から、簡体中国語の環境で作られたメールだと推測できます。 ※参考:GB2312 (Simplified Chinese) character code table X-Mailerヘッダの値を見てみると、「Foxmail」というMUAを使っているようです。[cn]となっているので、やはり中国語圏でしょう。

X-Mailer: Foxmail 4.2 [cn]

そして、しばらくヘッダを眺めていて気づいたのですが、このメールには配送先であるGMailのメールサーバーに到達するまでに経由したサーバーの情報が付加されていません。 そう、送信元のメールサーバーの情報がありませんでした。 一応の警戒はなされているようですね。 さて、本文の方を見ていきましょう。本文の全文はこちらです。もちろん原文ママです。

まず目に留まったのは、冒頭の「株式会社营团社サービスシステム」です。
おかしいですね。末尾の署名では「スクウェア・エニックス会社」となっているのですが。
「誰だおまえ?」と思ってGoogle先生に「营团社って誰?」と聞くと、どうやら今年の7月以降同様のフィッシングメールが多発しているとわかります。

続けてみてみますが、IPアドレスは日本国内の適当なISPで使っているアドレスを貼り付けただけのようです。
フィッシングメールの肝となる釣り竿URLは、ぱっと見は本物のスクウェア・エニックスのサイトURLですが、マウスオーバーしてみたり、ソースを眺めてみると、

<a style="cursor: pointer; color: #0068cf; line-height: 17px; text-decoration: underline;" 
href="http://secure.square-enix.com.account.rrjp.cc" 
target="_blank">https://secure.square-enix.com/account/app/svc/Login?cont=account</a>

と、aタグで別のドメインに飛ばしていますね。
実はこのドメイン、8月16日に取得されているようで、先の会社名で検索した結果のサンプルとは別のURLになっています。
ちょっと気になってwhoisのぞいてみましたが、postal codeが明らかに架空っぽいのでここから特定は難しいでしょうね・・・

今回の晒しはこんなところです。またおもしろい詐欺・迷惑メールがあれば積極的に晒してみようと思っています

 

# ソースのHTML汚いなーまるでMS Wordからはき出したHTMLみたいだなーとか思ってたら

<META content=”MSHTML 6.00.2900.6212″ name=GENERATOR>

# って書いてあったので確定です。このメールはMS Wordで作られました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です