Apple Storeを騙ったメール

楽天やAmaonなどの通販サイト、あるいは銀行のサイトを騙るサイトへの案内メールがよく来ます。最近、当方にきたのはApple Storeを騙った「購入した商品をありがとう “¥ 1,200 iTunes Gift Card 」という件名のメールです。タイトルが不自然で、iTunes Card も購入したわけではないので普通はすぐ捨てちゃうのですが、実は、つい先日、Apple Store で買い物をしたわけで、なにやらApple Storeから連絡があってもいい時期だったので、ちと詳しく見てみました。

下図はApple Storeから、ちと遅れて届いたメールです。こちらのメールの件名は「Apple からの領収書です。」です。事実、購入しているわけで、本物です。

そっくりですね。偽メールの意図は、当然、受信者は心当たりが無いだろうから、「この購入を承認しなかった場合は、にアクセスしてください。: 支払いキャンセル」をクリックして、支払いをキャンセルするだろうというわけですね。

このインチキメールの送信者のメールアドレスは
App Store <noreply-mailupdateinformation.co-jp00577@uiefd.me>
返信先は
no_reply@apple.co.jp
ヘッダーを読むと
From: App Store <noreply-mailupdateinformation.co-jp00577@uiefd.me>
となっています。App Storeとあるのはメールアドレスと一致しておらず嘘ですね。

Appleからの本物メールの送信者のメールアドレスは
Apple <no_reply@email.apple.com>
返信先は明示されておらず、ヘッダーは
From: Apple <no_reply@email.apple.com>
となっており、送信者と一致しています。
Apple はno_replyとあるので、このメールに返信しても読まないで返事もよこさないので、インチキメールは返信先メールアドレスをそれらしきものにしてもかまわないわけです。

インチキメールのドメインネームuiefd.meは米国にあるようですがインチキ臭いですね。「支払いキャンセル」のリンク先は
https://loli.tuidao.me/57?amp=njo19essgx
で、この tuidao.me というドメインは中国の北京ですね。

メールアドレスのドメイン名は騙ること(本物を使うこと)が可能ですがURLのドメイン名は、本物を使うことができないのです(わかってますよね、mjもんた)。

支払いキャンセル をクリックすると上記のように  https://loli.tuidao.me/57?amp=njo19essgx がリンクされているので、ここに飛ぶわけですが、これは
https://w3bapp-purcha3dappst0r3-secur3.9co-jp.com/session/?view=login&appIdKey=8832b3e6ae39a5a&country=JP
にリダイレクトされています。表示されるページです。

これは https://appleid.apple.com/#!&page=signin

という本物のページから作った偽ページですね。本物の方は当方が利用したことがあるので、ID が既に入力されており、パスワードを入れればいいようなプロンプトがでています。

偽ページが本物のページとそっくりなのは当たり前で、元のAppleのページをダウンロードして作成したからですね(mjもんた、セイちゃん、カツラ委員会さん、わかるでしょ、偽魚拓とちがって偽ページの作成は簡単なのです)。本来は上のメニューのリンゴアイコンや Mac iPad 等の文字 あるいは下にあるiCloud 等のアイコンにはリンクが埋め込まれていて別ページに飛ぶわけですが、偽ページはそこまで細かく作成していません。そこまで手をかけて偽ページを作らないのです。偽ページの目的はApple ID とパスワードの窃盗そしてクレジットカードの情報ですから、アクセスした方がどこか関係ないページに行ったら困るからですね。上の偽ページにID(デタラメでもかまいません)を入力すると、パスワードを入力する欄が増え、ここに適当な文字をパスワードとして入力して進むと、

というプロンプトが出てきて、「今すぐキャンセル」をクリックすると

というクレジットカード等の情報を入力させるページが出てきます。あー、間違えてもこのページを表示させて入力したらだめですよ。

こういうなんだか憶えがない、怪しげなメールがきたら
1)送信者のメールアドレスの@以下のドメインネームが、本来のその会社のドメインネームか調べる
2)メール本文にある リンク は決してクリックせず、マウスを右クリックして リンク先 を保存・コピーして、エディタ(メモ帳とかテキストエディット)にペーストして、リンク先のドメインネームが、本来の会社のドメインかどうかを確認する。メール本文にあるリンク先http://xxxxx.xxx.xxx.jp とかの文字列は信用しないこと
で、ほぼ、インチキメールであることがわかりますね。実際に飛んだ先のページのURLが、どのようなブラウザでも表示されます(だから偽魚拓ができない)ので、このURLが本物かどうかを、会社名を検索してその会社のページを開いたときと同一ドメインであるかで調べればいいのですね。

フェイクページについてのブログ記事はいくらでもあるし、ごまかされないための方法も書いてあるので、いまさらこのような記事を作る意味はたいしてないのですが、mjもんたの「Amazonの名前を語った成りすましメールに注意!! 」という記事を見て書くことにしたのです。このmjもんたの詐欺に注意のページの記事は、メールを受け取って書いてあるリンク先にアクセスしたら、Google Safe Browsingのページがでてきたという経験を書いているものです。これでは詐欺メールを防ぐ注意にはならなく、Googleがフィッシングサイトとして登録できた例として示す というような記事にすべきですね。この例ではフィッシングサイトにはご注意といっても、すでにGoogleが対応してくれているので注意喚起にはなりませんな。今回のような本物と偽物が実例としてあると、比較して紹介する意味が少しはあると思うわけですね。しかし、このように批判しても意味は通じないでしょうけどね。