結構巧妙なスクウェア·エニックスのフィッシング詐欺サイトへの誘導メールが来たから見分け方などを紹介

掲題の件ですが、一瞬ですが・・・見た瞬間に・・・「え・・・本物?」と思ってしまいました。

スクウェア·エニックスのフィッシング詐欺メール

スクウェア・エニックスのフ

URLに着目

フィッシング詐欺メールに表示されているURL

http://secure.square-enix.com/account/app/svc/Login.htm?cont=account=112&cg=1&no=856

本物のスクウェア·エニックスログインサイト

https://secure.square-enix.com/account/app/svc/Login?cont=account&ref=cis_jp_login&svcgrp=Service_SEJ

気がついた人も多いかと思いますが、ドメインが一緒なんですよね。「http(偽)」と「https(本物)」の違いはあるんですが、ドメインが一緒なら飛ばされるサーバは同じです。ちなみにですが、上記の偽URLをコピペしてブラウザのURLに貼ると「接続中」となってアクセスできません。

あれ、どういうことだ?って少し考えてながら以下を参考にどうぞ

フィッシング詐欺サイトへの誘導メールの見分け方 ①

上記画像の注目点①です。日本語がおかしいですね。「常確認のお願い」ってなんだ?(笑)
この時点でフィッシング詐欺のメール確率80%位だと思っていました。

通常、企業から来るメールの日本語で変なものは無いです。あったら疑いましょう!

フィッシング詐欺サイトへの誘導メールの見分け方 ②

上記画像の注目点②です。URLのドメインと「https」かどうかに注目

URLのドメイン → 本来のサイトのドメインに似て非なるものではないか?(銀行系のやつなら該当の銀行をgoogleで検索して確認しましょう)
※今回の場合、見た目は、スクウェア·エニックスのサイトのドメインです(後述します)

「https」 → 真っ当な企業であれば、ログインサイトは、セキュリティ上「https」のURLにしています。

フィッシング詐欺サイトへの誘導メールの見分け方 ③

上記画像の注目点③です。ヘッダに注目ですね。
※ヘッダを見る場所はメールソフトによって異なります

これです。

Received: from 110.173.48.74 (EHLO qwacuxxha.net) (110.173.48.74)
by mta523.mail.kks.yahoo.co.jp
with SMTP;
Fri, 04 Jul 2014 15:18:16 +0900

「Received: from」 → どこから来てるか明示

つまり、ここからです。

「110.173.48.74 (EHLO qwacuxxha.net) 」

どうみてもスクエニのメールサーバから送られてきたメールではありません。ですのでwhoisでIP情報を検索してみたところ

inetnum: 110.173.48.0 – 110.173.63.255
netname: CHINADEDICATED-HK
descr: Room B, 8/F Wing Cheung Ind Building
country: HK   → (香港)
admin-c: CDCn1-AP
tech-c: CDCn1-AP
status: ALLOCATED PORTABLE
remarks: Used for service-hosting

香港ですね(苦笑)この時点でスクエニからのメールではないことは確定です。ちなみにですが、表示上の送信アドレスはいくらでも偽装できるのでそこを見ても意味無いです。

フィッシング詐欺サイトへの誘導メールの見分け方 ④

しかし、ドメインがスクエニのドメインならスクエニのサーバに飛ばされるはずです。事実、偽のURLをブラウザのURL入力欄に入力してもフィッシング詐欺サイトへの飛びませんでした。

ここで5分位考えてしまったんですが…分かりました。

上記画像の注目点④

そう答えは、テキストメールに見せかけたHTMLメールですね。

※HTMLメールをテキスト形式で見た場合は下記になります。(HTMLメールをテキストで見る場所はメールソフトによって異なります)

フィッシング詐欺サイトへの

ここを
http://secure.square-enix.com/account/app/svc/Login.htm?cont=account=112&cg=1&no=856

クリックしても、実際に飛ばされるサイトは…
ここです(苦笑)
http://hiro***********bb.co.vu/index.html?app=wam

※アクセスして欲しくないのでURLの一部は伏字にしてあります。
ちなみにですが、トップレベルドメイン「.vu」を調べてみたらバヌアツでした(どこだそれ?)…

まとめ

今回は、HTMLメールで表示上のURLを偽装していたため騙される人が結構いてもおかしくないとは思いました。本当に気をつけましょう!

補足:バヌアツとは

http://ja.wikipedia.org/wiki/%E3%83%90%E3%83%8C%E3%82%A2%E3%83%84
バヌアツ共和国(バヌアツきょうわこく)、通称バヌアツは、南太平洋のシェパード諸島の火山島上に位置する共和制国家である。西にオーストラリア、北にソロモン諸島、東にフィジー、南にフランス海外領土のニューカレドニアがある。イギリス連邦加盟国。
バンジージャンプの起源となった成人の儀式「ナゴール」が有名である。

コメント

  1. 野村 純 より:

    あ、自分も来ましたそれ。
    「常確認」の時点で即削除しましたけど、引っ掛かる人結構いるんじゃないかと。
    しかも繰り返し繰り返し来るんですよね。
    丁寧な解説、ありがとうございました。

    • 損 斬丸 より:

      >>野村 純さん

      コメントありがとうございます!

      繰り返し繰り返し来るんですね…。スパム業者は本当に消えてほしいですよね…
      こんなものにひっかるひとが少しでも減ってくれればと思います!