GMailの迷惑メールフィルターって結構優秀で、フィッシングメールもしっかりフィルタリングしてくれます。哀れにも迷惑メールフィルターに引っかかったメールを、注意啓発をかねて晒していこうと思います。
※怪しいメールを発見しても、むやみに添付ファイルを開いたり本文中のURLにアクセスすることは大変危険です。ダメ、ゼッタイ。
まずメールソースはこちら。私のメールアドレスを隠している以外はすべて原文ママです。
GitHub Gistで見る ボディ部がとっても読みにくいですね・・・ 普通のメーラーならHTMLメールを送るとき、Content-Typeをmultipart/alternativeにしてプレーンテキストとHTMLを両方送るのですが、このメールはContent-Typeはtext/htmlとしてHTMLだけ送っています。
Content-Type: text/html;charset=”GB2312″
さらに、charset="GB2312"から、簡体中国語の環境で作られたメールだと推測できます。 ※参考:GB2312 (Simplified Chinese) character code table X-Mailerヘッダの値を見てみると、「Foxmail」というMUAを使っているようです。[cn]となっているので、やはり中国語圏でしょう。
X-Mailer: Foxmail 4.2 [cn]
そして、しばらくヘッダを眺めていて気づいたのですが、このメールには配送先であるGMailのメールサーバーに到達するまでに経由したサーバーの情報が付加されていません。 そう、送信元のメールサーバーの情報がありませんでした。 一応の警戒はなされているようですね。 さて、本文の方を見ていきましょう。本文の全文はこちらです。もちろん原文ママです。
まず目に留まったのは、冒頭の「株式会社营团社サービスシステム」です。
おかしいですね。末尾の署名では「スクウェア・エニックス会社」となっているのですが。
「誰だおまえ?」と思ってGoogle先生に「营团社って誰?」と聞くと、どうやら今年の7月以降同様のフィッシングメールが多発しているとわかります。
続けてみてみますが、IPアドレスは日本国内の適当なISPで使っているアドレスを貼り付けただけのようです。
フィッシングメールの肝となる釣り竿URLは、ぱっと見は本物のスクウェア・エニックスのサイトURLですが、マウスオーバーしてみたり、ソースを眺めてみると、
<a style="cursor: pointer; color: #0068cf; line-height: 17px; text-decoration: underline;" href="http://secure.square-enix.com.account.rrjp.cc" target="_blank">https://secure.square-enix.com/account/app/svc/Login?cont=account</a> |
と、aタグで別のドメインに飛ばしていますね。
実はこのドメイン、8月16日に取得されているようで、先の会社名で検索した結果のサンプルとは別のURLになっています。
ちょっと気になってwhoisのぞいてみましたが、postal codeが明らかに架空っぽいのでここから特定は難しいでしょうね・・・
今回の晒しはこんなところです。またおもしろい詐欺・迷惑メールがあれば積極的に晒してみようと思っています
# ソースのHTML汚いなーまるでMS Wordからはき出したHTMLみたいだなーとか思ってたら
<META content=”MSHTML 6.00.2900.6212″ name=GENERATOR>
# って書いてあったので確定です。このメールはMS Wordで作られました。
