かずえ日誌

かずえもんがいろいろ書き留める場所です。

割と巧妙なフィッシング詐欺のメールが届いた話

こんにちは、かずえもんです。
最近天下の密林様を名乗るこんなメールが届きました。

どう見ても怪しい...

f:id:kazuemon_0602:20200214201625p:plain

 

うん、どう見ても怪しい。
怪しいポイントを書き出してみました。

 

f:id:kazuemon_0602:20200214201648p:plain

 

犯人は無造作に送ってるんでしょうけど、残念ながらこのメールアドレスでAmazonに登録していない時点でフィッシング詐欺確定です、残念だったな、犯人さん。

まあ日本語がおかしい時点でフィッシング詐欺確定なのですが、メールアドレスは「@amazon.co.jp」の表記になっています。

これはちょっと調べてみる余地がありそうです。

 

メールのヘッダーを見てみる

こういう時はメールのソースを見て判断してみます。

f:id:kazuemon_0602:20200214202126p:plain

日本に伝わる伝統的な緑塗り資料です。

dkim=neutral」

まず目についたのはdkim=neutralという表記、これは調べてみるとDKIMというシステムのステータスのようです。

DKIMは、電子署名方式の送信ドメイン認証です。 メール送信時に秘密鍵で署名した電子署名をメールに付与、受信時に署名ドメインDNSに宣言している公開鍵で正当性を評価し認証します。

引用元: http://support.smp.ne.jp/function/120

"neutral"は「DKIM署名が付与されているが、文法の誤りなどで照合できない。」
つまりは送信元とされているメールアドレスと表示されているメールアドレスがおんなじであることを証明できなかったということです。

天下のGoogle様から届いたメールを見たところ、dkimはpass(ちゃんと証明できた)となってました。*1

「~13ty.xyz」

Amazonから送られている"はず"のこのメール、ヘッダーを見てみると実は「~13.xyz」というドメインのサーバーから送られていました。

ただ表記はAmazonに偽造していたので、まったくの素人からすれば騙されやすいですね。

「may be forged」

「接続元のIPアドレスの逆引き結果、正引き結果に矛盾(不整合)が発生した場合に、偽装されている可能性あり」ということで、つまりはdkim=neutralと同じく、来てるところと送られたとしているところのアドレスが違うよ!という意味です。

 

調べないと結構わからないトリック

ということでメールを初心者なりに分析してみましたが、システム的に警告してくれないと見分けることができないぐらい巧妙なフィッシング詐欺でした。

ちなみにAmazonプライムの画像を読み込んでるのは開いたら読み込まれちゃったからなので、次はそこも気を付けていかないとですね。。。

最後まで読んでくださりありがとうございました。

*1:ちなみにWeb版のGmailで見ると、ちゃんと証明できなかった旨の表示が出るようになっています。さすが天下のGoogle様。