SPAMメールのこと

Googleを騙った詐欺メールと対処法

ネット犯罪は増加する一方ですね。

グーグル装い「ウイルス感染」=対策名目で詐取容疑、男ら逮捕—警視庁(Biglobeニュース より)

グーグル、とカタカナ表記なのがどこか新鮮なニュースなのですが、手口は少し古いかもしれません。
携帯の端末がウイルス感染した、というメールがGoogleから……来たら凄いですね。
パソコンでも携帯でも、ウイルスに感染したからといって、AppleやらNECやらがわざわざメールで通知してくれて、しかもウイルス対策ソフトまで紹介してくれた試しはないです。
しかし、Eメールだったら「いつものか」で終わりそうなのですが、ショートメールを使うという辺りが、不安をうまく煽っているのでしょうね。
携帯キャリアからの連絡がショートメールですから。

このニュースを見て、先日知人から受けた相談を思い出しました。

コンテンツ利用料

コンテンツ利用料について確認事項がございます。本日ご連絡無き場合、法的手続きに移行致します。グーグルサポートセンター

……Googleにサポートセンターなんてあったか……?
Google関連のサービスで困ったことは数多くあったものの、提供されているサポートといえば、小難しい文面で書かれたヘルプと、あとはユーザー同士で情報を交換するフォーラムしかなかったような。
サポートセンターが存在するのだとしたら、月に数回は絶対電話します。
Google+もタグマネージャーも全然使いこなせないし、アクセス地域が相変わらずおおい町(ハートブレーンより130kmほど南)に設定されてるし。

という文句を飲み込み、つい真面目に返してしまったのですが、これ、ネタになったなぁ。
何日か前にテレビで「わざと業者のメールに釣られてみた」って企画をやっていて、楽しんでいたものの、それを実行できるスキルと環境に軽く嫉妬していたのですが、そのチャンスをみすみす潰して………………

ごめんなさい、嘘つきました。
チャンスだと一瞬思ったとしても、きっと実行しません。
スパイウェアとか植え付けられたら、能登程度では対処できそうにないです。

とりあえずこの迷惑メールパターンの行く末を知りたい、と調べてみました。
しかしネット犯罪が増加するのに反比例し、引っかかる人が減少しているようで、なかなか事例が見つかりません。
ようやく見つけたのが、この記事です。

何のコンテンツ利用料?0359246868 03-5924-6868 グーグルサポートセンター(怪しい業者に要注意!様 より)

名前と年齢?クレジットカードの番号じゃないんだ……と思ったのですが、悪質業者が入れ替わり立ち替わり何らかの請求をしてくるようです。
こっちの方が怖いです。
名簿が出回ったら、逃れるためには苗字や住所を変えなきゃいけなさそうですから。

あの手この手で商売の幅を広げようとする(けどツッコミ所が多いのは昔から変わらず)悪徳業者ですが、未だに被害は1000件に上るようですね。
ウイルス感染やコンテンツ利用料の問題で企業がいきなりショートメールを送り付けることもなければ、早々と法的措置を取ることなんてもっとあり得ません。
企業の名前を出した変な請求メールで混乱させてお金や情報を吸い出そうというのが手だと思うので、受け取ったらまず深呼吸し、連絡先として指定されている電話番号やURL、もしくはメールの本文を、”(ダブルクォーテーション)で囲んだ上でGoogle検索しましょう。
他からの被害報告が見つかれば、最早悪徳業者で間違いないです。

【ハートブレーン】http://heartbrain.net

手が込んでるんだか雑なんだか分からないフィッシングメール

うちは人口が少ない田舎の、しかも田園地帯に位置する零細企業なのですが、定期的にりそな銀行からメールが届きます。

送信者も本文も日本語

言うまでもなくフィッシングメールなのですが、これ、未だに続けて効果あるのでしょうか?
このブログでかなり昔に紹介させていただいた記事とほとんど同じ内容なのですが。
当たり前ですが、りそな銀行webサイトでも注意喚起されていますし、Yahoo知恵袋でもTwitterでもネタにされているくらいのメジャーさは、いっそ我が社としても見習いたいくらいです。

そんな釣る気があまりなさそうな有名フィッシングメールなのですが、徐々に形態が変わってきています。
まずは送信者の名前。
これまでは【りそな銀行】だったのですが

送信者がタイ語

謎の言語です。
Google先生に問い合わせてみたらタイ語でした。
ついでに翻訳してみたのですが

Google翻訳→マルのC H yをAaの電力庁メルキゼデク

Google翻訳がすごくがんばってくれたのだけは伝わってきました。

そしてそのメールも、最終的にはこうなります。

本文が文字化け

やる気あんのか。

じゃあこれはタイ発のフィッシングメールなのかな?と思い、一応メールヘッダを確認してみたところ

エンコードは中国語

GB 2312-80(あるいはGB 2312-1980)は、中華人民共和国の国家規格として定められた簡体字中国語の符号化文字集合(いわゆる文字コード)で、主に中国大陸などで使われる。(Wikipedia より)

ちなみに、このメールに記載されているURLをクリックしても、飛ばされるのは別サイトです。
記載されている文字は間違いなくりそな銀行のものですが、aタグか何かで貼り付けられている本当のリンク先は違っていました。
URL調査をしてみたら404エラーが出るみたいなのですが、サイトは海外のものでした。
実験してみよう!とクリックするだけで、失敗と表現するにはあまりにも深い痛手を負う可能性もありますので、騒がず触らず、そっと迷惑メールとして処分してください。

【ハートブレーン】http://heartbrain.net

ダンカノ博士からの手紙を大雑把に解読してみた

Google先生に聞くと、数件ほど検索結果に出てくるDr. E.N. Dan-Kano。
ダンカノ博士から、ありがたいことに、この度我が社にメールをいただきました。
長い上に英文なので、気合を入れて翻訳しました。

Excite先生が。

完全に人(?)の手柄なのですが、この長さの上に、翻訳した文章もかなり難解です。
結論は分かり切っているものの、せっかくの博士からの手紙です。
何とか読み解く努力をしてみました。

長い英文メールは敵

こんにちは、私はE.N.博士ダンカノである;
石油の指導者職の頭 およびパイプラインマーケティング(DPPM)、ナイジェリア。
DPPMはナイジェリア人のエージェンシーであるそれの国際貿易の排他的な監督を持つ政府Nigeria’s石油と製品。
これは、私達が永久的も維持する理由であるロンドン国際石油取引所(IPE)のここの存在。

まず、随分多様な肩書をお持ちのようです。さすが博士。
とりあえず、石油の指導者職筆頭兼DPPM。
DPPMとは、ナイジェリア人の代理人として、ナイジェリアの石油製品を監督し、国際貿易を排他しようとしている政府組織。
ナイジェリアが国際的な汚名を着せられた瞬間です。
で、その博士は、ロンドン国際石油取引所のために、DPPMを維持している、と。
国際貿易は排他しても、イギリスはいいのか……。

私は2380万米ドルを持ち、theにそれを再配置するために、私にはあなたの補助が必要であるあなたのアカウントの安全。
私は、もっと供給してお金を蓄積した買手への石油の量-記録されて、するために報告したものより政府。
供給品は送り状を下で送られた。
全体の支払いすべては全国によって私達のアカウントにまっすぐに入った金融機関。
しかし、私が署名人であるので、それは問題ではない そして、それのディレクターとしての私のポジションによるアカウントの管理人DPPM。

ダンカノ博士は2380万ドルを所有しているが、theという人?団体?に、それをあげなきゃいけないようです。
theって?と思ってGoogle先生に聞いてみたら、前置詞としてのthe以外に出てきたのは、何やら物騒なダンスユニットの企画名でした。
この企画も、説明文がダンカノ博士並に難解でした。中二すぎて。
とりあえずtheの正体は不明ですが、そのtheに渡すために、安全なアカウントである私に補助してほしいそうです。
そりゃ博士よりは安全ですよ……。
で、人にそんな面倒そうな大金を押し付けた博士ご自身は、更に石油を供給し、更なる大金持ちに売り付け、政府の報告する予定だそうです。
送り状は下で送られたらしいんですが、下って、海?地下?これだけの巨大な組織なら、どっちもあり得ます。
支払は博士たちのアカウントに真っ直ぐ入った金融機関で、それは博士が署名人であるので問題ないそうです。
……これは、博士たちのアカウントに不正でなくまともにアクセスしてきた金融機関、という意味で良いのでしょうか。
むしろ不正にアクセスしてきたのは博士ハッカーではないので不正アクセス手段はないです、博士。
しかし、もし不正であっても、博士が署名人でバックにDPPMがいるから大丈夫、だそうです。
署名さえあれば、不正アクセスOKなのか……博士の利用しているザルすぎる金融機関と、不正アクセスもみ消しを公言する政府組織に興味があります。

私がまさにそれとしての私のポジションを除去しようとしているので、私は今日あなたに連絡している私達の政治的なリーダーシップの変化によるDPPMディレクター国。
私は、遅延なしで私達のアカウントの外のこのお金を転送する必要がある。
私は、aとしてのあなたのアカウントに処理されて、転送された資金を持っている法律および契約仕事を予定している契約支払い あなたは DPPMの代わりをした前の少しの年。
あなたの職業または職業は重要ではない。
私は、するために待機状態にある私達の官庁に信頼すべき筋を持っているそれの間に質問が全然されないことを保証するために、必要なバックアップの文書を出しなさいあなたのアカウントへのこの資金の処理および転送 theのどこでも 世界。

しかしDPPMがリーダー交代したので、博士は自○しようとしているから、その前に私に連絡をくれた、と。
早まっちゃ駄目、博士ぇぇぇ!!!
数年前に私のアカウントが博士をaとして処理して、既に法律に乗っ取って契約しているので、さっさと私に2380万ドルを渡したいそうです。
アカウントって、メールを送受信するだけじゃなくて、人間を処理した挙句、勝手に大金を受け取る機能もあるのか。
なんて怖いインターネットなんだ!
あなたのアカウントや資金の行き先を政府に追求されないように、アカウントのバックアップの文書を出しなさい、だそうです。
いきなり態度がでかくなりました、さすが博士。
そもそもDPPMという政府組織が、博士の味方なのか敵なのか、文章からは少しも読み取れません。

文書すべてはそれのためのgovernment’sレコードとアーカイブに反射する真正性およびすべての可能な精査を通過するために。
theの処理資金およびその転送は、すべての国際標準と規則と会う。
転送の結論には、あなたはあなたとしての資金の15%を保有する委員会。
また私があなたに投資したいことに注意するその肝腎あなたの案内と後見の下の国。
私は、10内のこのプロジェクトの成功し、適時の完成を保証している
私は、 日付からの日 theによってフォーマルな前検定済の借方(パッド)注文をファイルする転送を処理する銀行。
詳細については、私にメールしなさい

バックアップの文書は、政府の記録に真正性を持たせ、精査を通過するために出しなさい、だそうです。
政府に追求されたくないのか、政府の精査を通過させたいのか、はっきりしてください。
theに譲渡された2380万ドルは、国際基準にも合うらしいですが、そもそも国際貿易を排他するんじゃなかったですか?
そして謎の委員会が、私の資金の15%を所有しているそうです。
そして私を後見する国……と私の肝臓と腎臓が、博士からの私への投資を注意しているそうです。
ここがメール全文で一番信憑性が高い部分ですね。
10日以内に終わらせる予定だそうです。
ここで博士の真の姿が判明します。
なんと博士は、theによって借方注文ファイルを転送を処理する銀行だそうです。
人ですらなかったのか……。

読み解く限り、報酬は期待できなさそうです。
2380万ドル横取りしたら、1時間以内には政府組織に消されそうですし。

何の旨味もなさそうな内容だったので、とりあえず無視しておきます。

【ハートブレーン】http://heartbrain.net

スクウェア・エニックスからアカウント確認メールが来た

以前にドラゴンクエスト(DQ)もファイナルファンタジー(FF)もたしなんだ私としては、一瞬ちょっと混乱しました。
私は最近、ゲームのグッズにでも手を出したのだろうか?と。

最初ネットショップかと思った

何せこのメール、N専用のメールアドレスに来ましたから。
共用のものだったら、前の人の仕業かな?と勝手にゲーマー認定していたところですが。
しかし、ここで重大な問題があります。

私、DQは5まで、FFは8までしかプレイしておりません。
DQ8を買ったはいいものの、三半規管がめまぐるしく弱体化していたので、15分でプレイ中断せざるを得なかった、という苦い思い出もあります。
そんな私が、3D方面に特化した合体後のスクエニに用事などあるはずもなく。

しかし、アカウントは紛れもなくスクエニ。
一応メールに記載されていたURLをクリックすると

逃げ足でフライングした珍しい例

気合いが足りない。

しかもGoogle先生の得意技「もしかして」で、本家スクエニに迷惑までかけてます。
アクセス解析で直帰率が劇的に上がっていたとしたら、間違いなくこいつのせいです。

同じ症例がないかと調べてみたところ、やはりフィッシング詐欺。
もっともらしいアカウントで釣り上げ、カードの暗証番号を入手する、という手口なのだそうです。
っていうか、性質が悪いと思ったのは、アカウントなのです。

HTML形式メールだから、多分実在するログイン用アドレスの文字列を a タグで囲み、違う所へ飛ばすという手口なんだろうな、と思ったのですが。
普通にメーラーからソースを見ても、半角英数文字だけでタグなんかどこにもなく。
仕方ないので、この方法を採用しました。

Gmailに届いたHTMLメールのタグを表示する2つの方法(GRAFFIRIA-BLOG様)

Gmailに転送し、右クリックしてソースを表示させたところ
このようなURLが a タグの中にありました。

本当に違ってたら切腹ものだな

そして、ヘッダー部分に表示されていたアドレスは、大文字英数の羅列で胡散臭かった上
海外のアカウントでした。

ここからはあくまでも予想ですが

GoogleのURLを使う詐欺サイトが見つかる、セキュリティ企業が問題提起(ITmedia エンタープライズより)

3年前の記事ではありますが、この問題が恐らく未だに解決していないのかな?と。
どちらにしろ、Googleにもスクエニにも迷惑な話ですね。

しかし、この予想は、他力本願が信条であるNが、ものすごく珍しく自分で考えた結果なので
中途半端な調査によるただの勘違いである可能性が高いです。
こういう道筋もあり得るかもしれないな〜程度の認識でとどめて下さい、お願いします。
そもそもこれ無理だよ?という方のツッコミをお待ちしております。

でも結構手の込んだ手口での詐欺が、主に海外発なのを考えると
外国人って知能高いな……と変な所で羨ましくなってしまいます。

【ハートブレーン】http://heartbrain.net

2014.4.16-本日の迷惑メール博覧会

今日はハートブレーンにこんなお便りが届きました。

カンダジャパン

ちなみに、社内のN個人用アドレスです。
もちろん非公開です。

社長のカードで勝手にルンバ買ったのがバレ……

なんて、優良社員のNがそんなことをするはずがないので
どう考えても因縁つけてます。このカンダってやつ。

そう思ってぐぐってみたら、案の定出てくる出てくる被害報告……ならぬ
こんな詐欺メール届いちゃったよ〜という感じの鑑賞日記。
最早誰も引っかからない手を敢えて使う、その物持ちの良さだけは評価できます。

それだけでは目新しくないので
先達のように敢えてURLをクリックして人柱に

なる勇気など当然なく
代わりにURL調査してみました。

結果

サーバーにもせめて何か置いとこうよ

文字が潰れて見にくいですが、アドレスの末尾は
請求書.src です。 srcとは、スクリーンセーバーなどの実行ファイルです。
これ、実行してたら、人柱どころの話では済まなくなっていたところかも。
正確には、柱になるのは人じゃなく、パソコン(ハードディスク丸ごとかも)。

ゆないてっどすていつ?

サーバーの場所……ですが
なんか、気のせいでなければ、この場所、どう見ても島国には見えないんですが。
ジャパンじゃなかったのか、カンダ!

とりあえず、流出経路として考えられる唯一のツールについては
調査中だの「訴える前にサポートまで連絡してね」だの
明確な答えが得られないので、しばらく注視しておきます。

【ハートブレーン】http://heartbrain.net

メールでのお問合せ・お見積りはコチラ