auを装う[au ID緊急問題]は詐欺メールだった件

auを装ったメールが届きました。
ここのところauを騙るフィッシング詐欺メールが多発しているようです。

スポンサーリンク

[au ID緊急問題]という詐欺メール

auを装ったメール、開いて見ると「えっ、単純すぎる!」と思わずうなってしまうほどの簡略さ。
テキストのみ、リンク1箇所ですからね。

 

言うまでもなくauになりすまし皆さんを騙そうとするフィッシング詐欺メールです。

「第三者があなたのau IDを不正利用した疑いがあるので確認してくれ」といった内容ですが、ピーマンはau IDは所有していませんので無視すればいいだけなのですが、au ID所有者だとしたら少々驚くかもしれませんね。

[ad]

リンクをクリックしてみる

メールにあるリンクは1カ所のみ「https://connect.auone.jp/net/vwc/cca_lg_eu_nets/cca」というアドレスなのですが、このアドレスは表示されているだけで実際は全く違うアドレス「https://cqxtoulk.cn」へ移動するようになっています。もちろんここ「https://cqxtoulk.cn」がフィッシングサイトであるのはいうまでもありません。

では、クリックしてみましょう。
いつものごとく、セキュリティソフトに引っかかるのですがここをすり抜けていくと以下のようなログイン画面に移動します。
もちろん偽物ですので個人情報などを入力しないようにご注意を。

ちなみにこのドメイン「cqxtoulk.cn」をWhois検索してみたところ、所有者は漢字3文字の方のようです。

そして、その割り当て地はというと、いつものアメリカ合衆国カンザス州チェイニー貯水池でした。

[ad]

メールの発信元

メールヘッダから調べていきます。

au ID <aupay.auone.jp@cekhcre.cn>
[au ID緊急問題] 宛先:●●●@●●●
Domainkey-Signature:a=rsa-sha1; c=nofws; q=dns; s=key1; d=cekhcre.cn; b=lnYbRR2lqbzG6Z/bWLUJJC0MN1N9Y9qjYdt16FTFMuofMPULmxCKXmiBMZyaYRsp8nH+pMXfYmTz dmJwAj1/pv9sQgnigYmmKmw9fKYlbFr+HFrHoChsDipgEcpjP41WAWStQGqERbUD3PvrSxz+YqHK 71NRNVzeuNish5iO0uSJZjV1lkjcBt3vtPClAbNLYke69vaVX6KGHEiKO2IJlJFjrsQmfJVvfZhe nvyeUhFD4KsBXm9mjYyAHaWjoCbh7F3vnHHOigTYj98FUdT9+h4xXGWtPUcZLKOYmNbwUBmIut/R +l3rJJhT7ooDcWodGnkTqjb+C72gLODc5nRESQ==;
Mime-Version:1.0
Content-Type:text/html; charset=”utf-8″
X-Envelope:S25R_match
=============中省略==============
Return-Path:<aupay.auone.jp@cekhcre.cn>
=============中省略==============
Received:(qmail 88050 invoked from network); 14 Apr 2022 23:49:05 +0900
Received:from unknown (HELO mgw3.zenno.net) (192.168.0.148) by msv2.zenno.net with SMTP; 14 Apr 2022 23:49:05 +0900
Received:from mgw3.zenno.net (localhost [127.0.0.1]) by mgw3.zenno.net (Postfix) with ESMTP id 0CB9F2F551 for <●●●@●●●>; Thu, 14 Apr 2022 23:49:05 +0900 (JST)
Received:from mgw3.zenno.net ([127.0.0.1]) by mgw3.zenno.net (mgw3.zenno.net [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id BFBXlT97pMf2 for <●●●@●●●>; Thu, 14 Apr 2022 23:49:04 +0900 (JST)
Received:from cekhcre.cn (unknown [113.31.109.29]) by mgw3.zenno.net (Postfix) with ESMTP id 260D72F54E for <●●●@●●●>; Thu, 14 Apr 2022 23:49:04 +0900 (JST)
Received:by mail.cekhcre.cn id hb0q600e97ca for <●●●@●●●>; Thu, 14 Apr 2022 22:48:54 +0800 (envelope-from <aupay.auone.jp@cekhcre.cn>)
<20220414224854053033@cekhcre.cn>
X-Antivirus-Status:Clean
Delivered-To:●●●@●●●

Return-Pathから差出人のメールアドレスは「aupay.auone.jp@cekhcre.cn」のようです。

それからこのメールがどこから発信されたのかですが、Receivedはこのメールが通過してきた経路を示しています。で、一番下のReceivedがこのメールが最初に通過したサーバー、つまりメールの発信者が使用したメール送信サーバーの情報になります。
差出人が使用したメールサーバの情報は

Received:from cekhcre.cn (unknown [113.31.109.29])

で、最後の数字がそのサーバーのIPアドレスになります。
Whois検索して見たところ、こちらも所有者は漢字3文字の人物でした。

そして、このメールの発信地というかメールサーバーの所在地ですが、これも住所検索してみたところ「中華人民共和国 河南省 鄭州市 金水区」でした。ここも最近よく目にする地名ですが、cnドメインですから中国だからと驚くこともありませんね。

[ad]

まとめ [au ID緊急問題]は詐欺メール

auを騙る詐欺メールが増えているようです。
auからも【迷惑メール・SMS】最近多い迷惑メール・詐欺メールの事例として注意喚起を促しています。さすがに[au ID緊急問題]は新しすぎるのか現状反映されてはいません。

面倒なことですが、auがからのメールだからと安心してはイケマセン。
まず、要注意だと思って用心深く対処しましょう。

コメント

タイトルとURLをコピーしました