この前詐欺ECサイトのことを書きました。

釣具の詐欺サイトにご用心2017年版 REDPEPPERS

今回はサイトでなく詐欺メールです。

未だにサギメールが横行しているのは引っかかる人が居るからですよね。いわゆるフィッシング詐欺メールは「あなたのアカウントがヤバイので今すぐログインして」みたいなやつです。騙されてログインすると、犯行グループにユーザーIDとパスワードを渡すことになります。たとえばamazonの詐欺メールに引っかかったら、犯人グループがあなたのユーザーになりすまして買い物できるわけです。

そんなサギに遭わないための簡単な見破り方法です。ただしこの方法が通用するのはパソコンのみです。スマホの場合は末尾に書いています。

Case1.amazonの詐欺メール（超低レベル）

これは昨日届いた詐欺メール。メールの題名は

あなたの情報を更新する 14/01/2018

題名とメール本文見ただけで100％怪し詐欺メールだとオレは解ります。なにより日本語が不自然w

また画面デザインも普通のamazonのとは全然違います。詐欺グループももうちょっと勉強しろよって感じ。

ここで注目すべき点は差出人

Amazon.co.jp <service@circles.servions.com>

ツッコミどころ満載です。amazonから来てるはずのメールなのにcircles.servions.comってなによ？

ってことで

詐欺メールを見分けるチェックポイント1は

差出人を見ること

です。大手有名サイトで違うドメインから来ることはめったにないんで。

詐欺メールを見分けるチェックポイント2

リンク先のアドレスが異様

メール本文のここをクリックにマウスを載せます。殆どのメールアプリは画面下にリンク先のアドレスが表示されるので、そこをチェックします。

本件の場合、http://www.idealautopaint.com/wordpress/wp-content/themes/twentyfifteen/css/home/っていう謎のアドレスでした。試しにクリックすると・・・Google Chromeは詐欺サイトと認識してくれました。GJ!でも、これってある程度詐欺サイトが有名にならないと無効です。できたてホヤホヤの詐欺サイトだとGoogleもスルーするんで注意してださい。

以上2点を注意深く確認すれば99％詐欺メールは見分けられます。

もう一個使える技は

詐欺メールを見分けるチェックポイント3

送信元サーバーが怪しい

受信したメールのソースを見てみます。サンダーバードならCtrl Uで。Gmailなら画面左側のメニューから。

ソースみると謎の英数字がいっぱいでてきます。その中から

Received: from

という部分を探します（複数箇所あったら一番下を見る）。すると、amazonのサーバーから来てるはずなのに、謎のサーバーからメールが送信されてることが解ります。今回の例だと以下の感じでした（赤線部分）

Received: from squeezereport by circles.servions.com 

ちなみにこのメールのリターンパス（オレンジ線部分）も

squeezereport@circles.servions.com

でした。詰めが甘いなーこの犯行グループ・・・

Case2.PayPalからの詐欺メール（なかなかのやり手）

本日初めてみた種類のPayPalを装った詐欺メール。オレでも一瞬え？マジ？って信用しちゃったw

惜しむらくは↓

本文のセンタリングがズレてますよ～笑。

それはともかくこのメールは

一応差出人はちゃんと偽装してました。画面が右にズレているけど、デザインはPayPalそのものを完全コピーしてます。タイトルは

Login from Unknown device near Manassas, VA

Manassas近くの不明なデバイスからログインされた

内容は

Dear Customer,

We noticed that your account logged in from Unknown device near Manassas, VA duo to this suspicious activity we suspended all your services . Please let us verify your informations as soon as possible so that you can continue using it with your PayPaI account. Be sure to activate your new card with your bank first.

意訳「ちょっと有り得ないデバイスからログインされたんで、あなたのサービスを凍結した。ナルハヤでログインしてチェックしてね。そしたらパイパル使えるよ。最初にカードと銀行口座の設定してね」

って来たわけです。詐欺だろ？と思いつつもPayPalには多額のお金があるし海外事業部が止まっちゃうからちょっとだけ焦って真剣に読んじゃったw

でも大丈夫です。さきほど挙げたリンク先のURL見たら100%詐欺でした。

このメールを最初に読んだのが1月15日の朝。その時はブログネタ材料としてあえて詐欺サイトを開いてみました。そしたら2～3回リダイレクトして、その後は開かずでした（危険なので真似しないでください）。でも、このブログを書くに当たって、夜にもう一回クリックしたらGoogleが詐欺サイトと認識して以下の画面に。

こんなケースもあるんでGoogleの詐欺サイト判定を100％信用しないほうが良いです

念のためこのメールのソースをみてみると

Received: by fastconnect.fr (Postfix, from userid 33)
	id 43E461F86E; Sun, 14 Jan 2018 21:43:45  0000 (UTC)

送信したおおもとのサーバーはフランスの謎のドメインのものでした。

たまたま偶然同じ日にPayPalから本当のメールが届いてました。

あなたのPayPalに登録されてるクレジットカードの有効期限が切れたから更新しろ、的なメールです。このメール文章だけみるといかにも詐欺メールっぽいけど、これはちゃんとしたPayPalからのメールです。

リンク先は

https://www.paypal.com/myaccount/wallet/以下省略

ってことでhttps://www.paypal.comから始まってます

ソースのRecieved: fromを確認してもちゃんとpaypal.comから送られてきてます。

Received: from mx0.slc.paypal.com (mx2.slc.paypal.com [173.0.84.227])

ここまで確認できたら100％問題なしです(*´ω｀*)

問題はスマホ・・・

って感じでPCのメールアプリなら簡単に見分けられます。が、スマホだとそうはいきません。メールのソースみれないし、リンクボタンにマウス載せてリンク先URLをみることすらできない。

また、冒頭に載せたamazon.co.jpのメールって、amazonのアカウントに登録してないメールアドレスに届いてるんで、その時点で嘘だと解る。でもiPhone標準のメールアプリだと複数アカウント登録してても「未読」フォルダは一つなので、どのアカウントに届いてるか分かりづらい。

唯一見分ける手段はリンクをタップしてブラウザで開いた時のURL欄を見るだけ。でもスマホのブラウザってURLがめっちゃ短縮表示されるんで、

www.paypal.com.ikasama.saite.com

っていう詐欺サイトにありがちな冒頭をホンモノに見せかけたURLをスマホで開くとwww.paypal.coくらいしか見えなかったりする罠があるんですよね～

Google2段階認証アプリとかSMS認証とかはPCよりずっとセキュアだけど、スマホのメール・ブラウザってあんまりセキュアじゃないですね～

オレでもスマホだけなら詐欺サイトに100％釣られない、って言い切れませんわ(*´ω｀*)

そんな感じなので、くれぐれもみなさんご注意くださいね。