AuO2のブログ一覧

少し前に、迷惑メールについての調査を頼まれたところですが、何日もしないうちに自分のところにも来ました。全く別の物ですけどね。

調べてみたら、どうも2016年位には既に出回っていた物みたいですね。

で、どんな糞メールかといいますと、以下のようなタイトルです。
「お使いのApples_IDがロックされます_ サービス番号：????????」
?のところは数字の羅列です。念の為に伏せてます。

中身を見るまでもなく、迷惑メールだと分かりました。
簡単です。アップルの製品使ってないですし。(^^)
随分前に、モノクロ液晶（４階調位だったと思う）のパワーブックだったかな、中古ノートパソコンを貰って一時期所有してた事はあります。
当然、ネットにつないだりしたことないものですし、アップルＩＤなんてそもそも持ってないし。そんなＩＤ取得した覚えも無い。

これだけではあんまりなので、本文も紹介します。
リンクとかは消してます。
単に文面だけね。

――――――　引用開始　―――――
アカウントの有効性を確認できませんでした

ファイルに関するお支払い情報。



いつも Apple-Store をご利用いただき、ありがとうございます。



私たちは、あなたのアカウント情報
の一部が誤っていることをお知 らせしたいと思います。



私たちは、あなたのアカウントを維持するためにお使いの
App store ID情報を確認する必要があります。

今すぐアカウントを確認できます




私のApp store ID

私たちは24時間以内にあなたからの応答を受信しない場合は、
ア カウントがロックされます。

Copyright 2017 Apple.inc All rights reserved.
Please do not reply to this email. Unfortunately, we are unable to respond to inquiries sent to this address.
For immediate answers to your questions, simply visit our Help Center by clicking “Help” at
the bottom of any Apple.inc
――――――　引用終了　―――――

アップルの名を騙って、ＩＤとかを盗もうというやつですな。
アホかい。誰が引っかかるか、といってもアップルＩＤ持ってないので、引っかかりようもないけど。

まだ不足ですね。
はい、ヘッダ情報の分析です。
というわけで、行ってみよう。(^^)/

――――――　引用開始　―――――
Return-Path: bounce@maildeliver.jp
Received: from mav-smtp-?????.maildeliver.jp ([163.44.74.26])
Received: from 127.0.0.1 (localhost [127.0.0.1])
by mav-smtp-?????.maildeliver.jp (Postfix) with SMTP id
for ; Tue, 3 Jul 2018 13:56:34 +0900 (JST)
MIME-Version: 1.0
From: =?ISO-2022-JP?B?QXBwbGU=?= ＜apple09@aoople336.com＞
Subject: =?ISO-2022-JP?B?GyRCJCo7SCQkJE4bKEJBcHBsZXMuSUQbJEIkLCVtJUMlLyQ1JGwkXiQ5GyhCLiAgGyRCJTUhPCVTJTlIVjlmIScbKEI4ODU2NzU4OA==?=
Date: Tue, 3 Jul 2018 13:56:34 +0900
Reply-To: ＜apple09@aoople336.com＞
X-Oneid-Param: ??????????????????
Content-Transfer-Encoding: 7bit
Content-Type: text/html; charset="iso-2022-jp"
Message-Id: ＜??????????????.??????????@mav-smtp-?????.maildeliver.jp＞
――――――　引用終了　―――――

くれぐれも本記事記載のメールアドレスやＵＲＬにはアクセスしないようにお願いします。
注意喚起のために記載してますが、危険なサイト等である可能性が高いためです。

引用といっても、表に出すとまずそうな部分はかなり削除してますし、伏せ字になってます。
念の為の部分も含めてなので、かなり削ってますけどね。
要点は少ないです。
まず、Return-Path:です。
アドレスがbounce@maildeliver.jpとなっています。送信先のアドレスがエラーとかの場合にここへ飛びます。
ＩＰアドレスの[163.44.74.26]もそうですが、ＧＭＯインターネットのようですね。
ブラックリストにも引っかかります。
ここ、スパマー御用達みたいなんで、嫌いなんですよね。
しかし、Reply-To:が設定されているので、普通に返信しようとすると、apple09@aoople336.comへ飛ばされるでしょうね。
ドメインはappleをもじったような騙し名ですねえ。ちなみに、aoople336.comという、ドメインもＧＭＯインターネットです。

本文の最後に怪しいリンクがありました。

――――――　引用開始　―――――
img src="http://redirect.aoople336.com/gpu/r.h?gpid=??????????????????" width="1" height="1"
――――――　引用終了　―――――

メールヘッダにX-Oneid-Param: ??????????????????という部分があります。
この、伏せ字になっている??????????????????のところと同じ文字列が上記のＵＲＬに記載されてました。
gpid=??????????????????という部分です。
画像のリンクのはずですが、縦横１ドットの画像ですか、そうですか。
これ、追跡用のリンクですね。
HTML表示にすると、画像を表示しようとして、先のアドレスにアクセスしますが、恐らく個別のＩＤになっているんでしょう。
つまり、誰がこのメールを開いて見ようとしたか分かるという事です。

というわけで、HTMLメールは信用出来るところから以外は開いちゃ駄目ですよ。
うちのメイン使用のメールソフトはHTMLメールは受信はするけど、表示は出来ないし、ＷＥＢメールの方でも基本的にHTMLメールは表示しないようにしてあるんです。
どうしても表示したい場合は、いきなりダウンロードしてから回線切断後に表示ですね。

ＧＭＯインターネットが発信に使われているようですし、国内発信みたいですから、勿論、通報します。
皆さん、ご注意を。