【2019年5月】Paypalを語るフィッシング（なりすまし）の偽メールが出回っているので要注意！

つい先日、新着メールを確認していると、PayPal？から「アカウントの確認が必要です。」と書かれた添付ファイル付きのメールを受信しました。

メールの件名を見ると

• 「FWD: 重要 - アカウント情報を確認してください JP-XXXXpXXXXsXXXX」

と書かれています。

また、このメールが到着したのはLiveメールアドレスとOutlookの2アドレスです。

どんなメールが届いたの？

まず、届いたメールがどんな物だったのかですが、以下の内容のメールが届きました。

パッと見で「おっPayPalか！ふむふむアカウント変更しなきゃいけないのか！」・・・

って思うはずもなく、あからさまに不審なメールとなっています。

• 怪しい点として

1. 日本語として所々怪しい点があり、文章の意味を考えると引っ掛かりがあるので分かりにくい文章となっています。
2. 漢字部分が明らかに中国語となっています。
3. 添付ファイルが3byteしかない。
4. 件名やアドレス部分の数字はどのアドレスに送ったかを判定するためのもの？
5. 文字を見ると何だかボヤケて見えるな・・てか、これ画像じゃん！

そうです、このアカウント変更を訴える部分は文章ですら無く、ただのリンク付き画像だったのです。

このメールのソースを見てみると以下のリンク形式となっていました。

<a href="http://shorten.herokuapp.com/s3ggw"><img src="https://s3-eu-west-1.amazonaws.com/froala-eu/temp_files%2F1555634229231-MLDFSKLFDSKSDMDSFKLFDKFDSLMSDDSFFDSFFDS.PNG" alt="" width="588" height="592"></a></p>

どうやら画像はAmazonクラウドに画像を置かれているようですね。

また、他に気になった点としては、メールの下の方に空欄が続いていたのでなんとなくマウスで選択してみると・・・

と言った感じで隠し文字が書かれていました。

以下はメールの内容です。

Copyright c 2019 Vodafone Kabel Deutschland GmbH

Hallo Keqing,

vielen Dank, dass du dich fur car2go entschieden hast. 

Anbei erhaltst du die Allgemeinen Geschaftsbedingungen und die Datenschutzerklarung der car2go Deutschland GmbH.

Wir wunschen dir eine gute Fahrt mit car2go.

Viele Gruse
Dein car2go Team
 
Dann hilft dir unser Kundenservice gerne weiter.

c 2019 car2go Deutschland GmbH
Fasanenweg 15?17, 70771 Leinfelden-Echterdingen, Deutschland

Sitz der Gesellschaft: Leinfelden-Echterdingen, Registergericht: Amtsgericht Stuttgart, HRB-Nr.: 737715 USt-IdNr.: DE277746196
Geschaftsfuhrung: Olivier Reppert, Stefan Glebke

Dies ist eine automatisch generierte E-Mail. Wenn diese Email nicht fur dich bestimmt ist, bitten wir dich, uns umgehend uber den irrtumlichen Empfang zu informieren und diese Email zu loschen. Danke fur deine Unterstutzung.

---------------------

※Google翻訳

こんにちはKeqing、

car2goをお選びいただきありがとうございます。

添付のcar2go Deutschland GmbHの一般取引条件とプライバシーポリシーをご覧ください。

car2goをぜひご利用ください。

よろしく
あなたのcar2goチーム
 
それから私達のカスタマーサービスはあなたを助けるために喜んでいるでしょう。

c2019 car2go Germany GmbH
Fasanenweg 15-17、70771ラインフェルデン - エヒターディンゲン、ドイツ

登録事務所：Leinfelden-Echterdingen、登録裁判所：Amtsgericht Stuttgart、HRB番号：737715 VAT ID番号：DE277746196
経営陣：Olivier Reppert、Stefan Glebke

これは自動的に生成されたEメールです。 このEメールがあなたのものではない場合、私たちはあなたに間違った領収書についてすぐに私達に知らせてこのEメールを削除するようにお願いします。 ご支援ありがとうございます。

この部分は何だろう(´・ω・｀)

中国系っぽい？名前が書かれていますが、まさかフィッシングを行っている犯人のお名前じゃないよね？

また、他にも似たようなメールが届いていたので見た所、こちらは投資関連のフィッシングメールなようでした。

なぜLiveやOutlookアドレスに不審なメールが？

今回、この2つのメールアドレスに届いたのですが、@より前の部分のアカウント名は違う文字列を使用しており、また@より後にあるLiveとOutolookではドメイン自体が違うので、文字列的に全く共通点が無い異なるメールアドレスとなっていました。

そもそも、どちらもサブアドレスだったため、あまり使用する機会もなく、サービスへの利用登録もほとんどない状態でした。

この2つのアドレスですが、なぜ似た様なメールが届いたのだろう？

・・・っと、ココでピンッ！と来た方はいるかも知れませんが、実はこの2つのメールアドレスにはある共通点があります。

そうです、どちらもMicrosoft関連サービスの無料メールアドレスとなります。

むむむ、Microsoftの無料メールアドレス・・・ココでまたピンッ！と来た方がいるかも知れません。

何故かと言うと・・

Microsoftは米国時間4月12日、「Outlook」アカウントにセキュリティ侵害が発生したことを通知する電子メールを一部のユーザー宛てに送付した。Outlookユーザーが直接影響を受けていた可能性があるという。

　Microsoftによると、2019年1月1日～3月29日の間に、ハッカーあるいはハッカー集団が、Microsoftのサポートエージェントのアカウントをハッキングしたという。サポートエージェントは、Microsoftの顧客サポートを担当し、技術的な苦情などを処理する。

　Microsoftは、不正な侵入を把握した時点で、侵入されたサポート担当者の認証情報を無効にしたと述べた。ただし、ハッカーが一部Outlookユーザーのアカウントのコンテンツにアクセスし、閲覧した可能性はあるとしている。

　Microsoftは顧客宛ての電子メールで次のように述べた。「今回の不正アクセスで、権限のない第三者が、メールアカウントに関連する情報（メールアドレス、フォルダー名、メールの件名、ユーザーが連絡をとっているメールアドレスの名前）へのアクセスや閲覧ができた可能性があるが、メールや添付ファイルの内容は対象外だ」

「Outlook」一部アカウントに不正アクセス、マイクロソフトが公表 - ZDNet Japan：引用元

と言う事がつい先月発表されたからです。

このタイミングでフィッシングメールが届いたと言うことは、メールアドレスが漏れているという事ですね。

もうこれ完全にやらかしてますね(´・ω・｀)

セキュリティ対策

情報が漏れていると分かったなら早めにセキュリティ対策を施す必要があります。

私はニュースが出た時に、すぐにMicrosoft関連のメールアドレス用パスワードを変更を行いました。

もしまだ変更を行っていない場合、すぐにパスワードの変更手続きを行ったほうが良いかと思われます。

また、アカウントへの不審なアクティビティがあればチェックする事も可能ですので、以下のMicrosoft公式ページの「ゆりか先生のセキュリティひとくち講座」を参考にチェックしてみるのも良いかもしれません。

不正ログオンが行われていないか確認しよう

不正ログオンが行われていないか確認しよう
インターネットでメールや、Facebook などのソーシャル ネットワーク サービス (SNS) など、さまざまなサービスで、自分のアカウントを使うことが多くありますが、昨今、誰かがあなたになりすましてサービスを利用する「不正ログオン」による被害が多発しています。
ポイントを勝手に交換される、ショッピング サイトで高額な買いものをされるなど、金銭被害も増大しています。犯罪者は、あなたのパスワードを推察したり、企業のセキュリティ事故などで流出したパスワードを悪用したりすることで、あなたになりすまします。
不正ログオンを防止するためには、使い回しをしていない複雑なパスワードを利用し、2 要素認証などの追加のセキュリティ機能などを取り入れ、アカウントのセキュリティを高めることがまずは重要です。さらに、アカウントの利用状況をこまめにチェックすることで、万が一、不正ログオンが行われてしまった場合でも、早期に発見し対応することで被害を最小限に抑えることができます。

www.microsoft.com

試しにフィッシングサイトにアクセスしてみた

せっかく初フィッシングメールが来たので、試しにサイトにアクセスしてみることにしました。

念の為にアクセス時はブラウザのプライベートモードでアクセスします。

入力項目は出鱈目に入力しよっと(´・ω・｀)ﾜｸﾜｸ

では・・・

アクセスしようとしたら警告が出ました。

どうやら既にMicrosoftに報告されているサイトな様ですね。

それでも気にせず先へ進むと・・・

残念！ページがありませんでした(´・ω・｀)はぁ

ただ、このサイトのURLとソースを見ると、アクセスがあったらWordpressの転送機能で404が書かれただけのページに飛ばしているだけの様です。

URL：http://victours.dk/wp-includes/fonts/jp-xppl

<!DOCTYPE html>
<html 
style="height:100%">
<head><title> 404 Not 
Found
</title></head>
<body style="color: #444; 
margin:0;font: normal 14px/20px Arial, Helvetica, sans-serif; height:100%; 
background-color: #fff;">
<div style="height:auto; min-height:100%; 
">     <div style="text-align: center; width:800px; 
margin-left: -400px; position:absolute; top: 30%; left:50%;">
         <h1 style="margin:0; 
font-size:150px; line-height:150px; 
font-weight:bold;">404</h1>
<h2 style="margin-top:20px;font-size: 
30px;">Not Found
</h2>
<p>The resource requested could not 
be found on this 
server!</p>
</div></div></body></html>

まとめ

今回、初のフィッシングメールが届いたのでルンルン気分で開いてみました(笑)

けど、アクセス先は何もなくて肩透かしを食らってしまいました(´・ω・｀)ちぇ

ちなみにメールを開く前は念の為にウィルスチェックも行ったのですが、容量が無いのでウィルスの可能性は無かったです。

今回はPaypalのフィッシングメールでしたが、これ以外にも同様なアクセスを誘うメールがあると思われますので、Microsoft関連のメールアドレスをご利用の方はお気を付け下さい。