「フィッシング」タグアーカイブ

最近詐欺メールがいっぱい届くので・・・

※下記の件、スクエニの公式に注意書きが出ていますので、アカウントを持っている方はそちらも熟読してくださいね。

http://www.jp.square-enix.com/info/130708_phishing.html

最近ウチのところにこんな感じのメールがよく届きます。

詐欺メールの例
詐欺メールの例

一見すると、不正アクセスの確認メールがスクウェアエニックスから来ているように見えます。パスワード変更をするために、慌ててURLをクリックしてしまいそうですが、ちょっと待ってください。

アドレスは一見するとスクウェア・エニックスのモノですが、後ろに『ffjp.asia』なんていう変なものがついています。これ、URLが似ていても全然別のサーバーなのです。スクウェア・エニックスとはなんの関わりもありません。

このメールの狙いは、スクウェア・エニックスのサイトに偽装したページでアカウントとパスワードを入力させ、アカウントを乗っ取ることにあります。

こういったメールが来たとき、安易にリンクをクリックしてパスワードを入力してはいけません。

詐欺メールとの簡単な見分け方としては以下の2点です。

差出人を確認する。

上記メールの差出人は『tianxin424@yahoo.com.cn』となっていますが、当然スクウェアエニックスがyahooのメールアドレスから送ってくることはありません。これは明らかな偽物と判断できますね。

ただし、この見分け方は万能ではありません。実は差出人アドレスは簡単に偽装することができます。

※インターネット電子メールの規格上、From(差出人)アドレスはチェックされていません。今回届いたメールは偽装どころかモロにYahooアドレスなのでかなり低次元な詐欺メールと言えます。

引っかかっちゃダメですよ?

リンクのアドレスを確認する。

差出人アドレスは偽装することができますが、こちらは完全な偽装をすることはできません。たとえばこういうメール。

詐欺メールその2
詐欺メールその2

すでにThunderbirdによって検知されていますがw

こちらは、差出人アドレスはスクウェア・エニックスになっているし、本文中のリンクも一見スクウェアエニックスのサイトで間違いなさそうです。

しかしよく見てください。

リンクにカーソルを合わせると、リンク先アドレスがステータスバー(画面下側)に表示されますが、『.account.zuzx.pw』なんていう変な文字列が後ろについています。

ある意味巧妙な手口ですが、リンク先をごまかすことはできません。

必ずカーソルを合わせて、リンク先をステータスバーで確認しましょう。

っていうか、こんなあからさまなメール、引っかかっちゃダメですよ?

簡単に確認できるのは上記2つですが、それでも安心してはいけません。アドレスが一字違いで見分けがつかなかったりする可能性もあります。

たとえば、『square-enix』と『square-enjx』とか。[i](アイ)と[j](ジェイ)、[o](オー)と[0](ゼロ)など、フォントによっては見分けのつきにくい文字も存在します。

メール本文に書かれているリンクには頼らずに、必ずブックマークなどからたどるようにしましょう。

ちなみに、↑の本当の送信元はメールのソースを見るとある程度はわかります。

X-Originating-IP: [60.249.29.142] Received-SPF: none (tf.org: domain of ywhxehm@tf.org does not designate permitted sender hosts)

送信元のサーバーはおそらく『60.249.29.142』であることがわかります。

また、Whois『http://whois.ansi.co.jp/60.249.29.142』によると台湾のIPアドレスであることがわかります。

inetnum: 60.249.0.0 - 60.249.255.255 netname: HINET-NET country: TW descr: CHTD, Chunghwa Telecom Co.,Ltd. descr: Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd. descr: Taipei Taiwan 100 admin-c: HN27-AP tech-c: HN28-AP status: ALLOCATED PORTABLE mnt-by: MAINT-TW-TWNIC mnt-lower: MAINT-TW-TWNIC mnt-routes: MAINT-TW-TWNIC changed: hm-changed@apnic.net source: APNIC

とまぁ、ここまでは簡単に調べることができます。上のヤツは台湾のインターネット・サービス・プロバイダのサーバーだと思います。

実際に誰がこのサーバーから送信したかは、サーバーのログを見るしかないでしょう。

(IPアドレス自体も偽装することができますが、スクエニがここから送ることは無いでしょうw)