最近のメールを見るとAppleに関するフィッシングメールが増えた気がします。
日本のiPhoneのシェアが高い影響があり、それを狙っての犯行かも知れません。
日本人がブランドに弱いのか、それとも中国・韓国製品が嫌いなのか?
当方宛にもいくつか送られて来ていましたので確認してみました。
■パターン1
驚いたのはヘッダ部分
Received: from instance-1 (235.231.185.35.bc.googleusercontent.com. [35.185.231.235])
送信元のIPアドレスを逆引きすると、Googleの本社(Googleplex)から発信されてる。うーん、本物?
マイアカウント確認の部分のリンクを調べると http://ow.ly/・・・・・
リビアドインというのは、やはり胡散臭い。なぜ、リビアなの?
■パターン2
元々の添付ファイルは”Appstore_Japan_BillingAggreement.pdf”のウイルスファイルだったようですが、プロバイダかアンチウイルスソフトが削除してくれたようで添付ファイルが以下のテキスト文
”ATTACHMENT_BLOCKING_Appstore_Japan_BillingAggreement_pdf.TXT”に置き換わっていました。
Original attachment (Appstore_Japan_BillingAggreement.pdf) was Deleted. A virus was detected and removed from the original attachment. You can safely save or delete this replacement attachment.
明らかにウイルスだったようです。
■パターン3
音楽は好きですが、上の音楽は全く趣味じゃないジャンルです。
添付ファイル”114155809773-.pdf”を保存してウイルスチェックしたところ問題ないので開いてみました。
請求書ですが金額が気になります。・・…昭和初期の物価でしょうか? 円、それともドル?
最初ドルで考えたがすべてを円に変換し忘れたか、円とドルのレートを知らないのか。日本をよく知らない外国人の仕業でしょうか?
正式なAppleからの領収書を見るとApple IDは、自分のメールアドレスになっていますし、カード番号の一部や住所や氏名があります。偽物はそこまで知らないか不特定多数に送信しているので対応できないということでしょうか?
billing@ld.apple.comのリンク部分にマウスオーバーするとhttp://bit.do/….が表示されます。
bit.doのドメインを調べると
doはドミニカ共和国のドメインで
Registrant Name: Rodrigo de Almeida Siqueira
Registrant Organization: Rodrigo de Almeida Siqueira
ポルトガル語? ブラジル人? それとも偽装?
なぜ、Appleの請求書がそんなところから? 疑問だらけです。
■パターン4
このメールもGoogleから送信されています。
ツイッターやFacebookのリンク先は間違いありません。これは結構本物っぽく、他のメールと比べても繊細さが感じられます。(笑)
”アカウントを確認する”ボタンのリンク先をステイタスバーで確認すると
https://dua-crew.com/……
ドメインを調べると
Registry Expiry Date: 2018-10-06T18:58:32Z
Registrar: GMO Internet, Inc. dba Onamae.com
Registrar IANA ID: 49
Registrar Abuse Contact Email: abuse@gmo.jp
Registrar Abuse Contact Phone: +81.337709199
GMOのお名前.comで最近登録したドメインのようです。繊細さは日本人が作成したからでしょうか?
自分の情報を出さず、プロバイダを隠れ蓑にしているようです。プロバイダさん、きちんと取り締まりお願いします!!
受信された方はabuse@gmo.jpに苦情のメール出しましょう。
Appleからのメールなら、リンク先は”apple.com”になっているはずですからここまで確認する必要はないと思いますが、フィッシングメールが本物に近づいて来ている点は注意したい点です。
Appleからの正式なメールがある方は、まず、本物と比較することをお勧めします。