LINEのフィッシング (詐欺)メールが来た

先日、ニュースで「10億円を生前贈与したい」というメールを受けた人が、それにだまされて、被害総額が1億6000万円という内容が伝えられていました。

「えぇーっ!?、そんな話にだまされてしまう人がいるの?」
というのが率直な感想です。
だって、見ず知らずの人に、いきなり、それも10億って・・・
いくら身内がいないとしても、見ず知らずの人に依頼しないでしょ?と常識では思うのですが、だまされてしまった人が結構いつので、手口が巧妙ということでしょうね。

先月と今月、LINEを名乗る、下記のようなメールがきました。
一瞬、本物かと思いましたが、なんとなく違和感のある文面です。

 

それに重要なメールにしては、やけにあっさりです。
最後に「LINE Corporation」の表記はありますが、メールアドレスの表記はありません。

この文章の日本語、なんとなくおかしくないですかね?
「異常ログイン」となっていますが、なぜ異常と判断したのかの根拠が書いてないのもおかしいですが、日本語的にちょっと違和感がありますよね?

・ログインされたことがありました。
→ログインがありました。

・検証してお願いします。
→確認をお願いします。
→検証をお願いします。

・最後の「安全認証」って?
→説明不足では?(笑)

ところで、「line.me」ってドメインはあるのでしょうか?

さっそく、「line.me」で検索をかけてみると、先人の知恵が...(笑)

line.meというドメインは実際にあって、LINEが運営している本物のサイトですが、メールのリンク先表記は「line.me」ですが、実際のリンク先は「http://www.linelin.me/」になっています。

リンク先では、IDとパスワード入力を求められるようですが、気を付けないと、だまされてしまいます。

メールのヘッダ情報から、ある程度、偽装メールの判断ができます。

私は、ロリポップのレンタルサーバを借りていますが、ヘッダ情報の「X-Spam-Status:」がYesとなって、下記のように表示されています。

X-Spam-Status: Yes(LOLIPOP-Fsecure) with VIRUSGW/SPAM_RBL/106.185.37.117[sbl-xbl.spamhaus.org:127.0.0.3]

これは、ロリポップのメールサーバのフィルタリングで迷惑メールと判断されていることを示しています。

ヘッダ情報の「Received」でメールの経路も確認できます。
複数のサーバを経由している場合は、一番下から順に表示されるので、送信元は、一番下の「Received」を見ます。

 

Fromには、IPアドレス(106.185.37.117)が書かれていましたので、JPNICのWhoisにアクセスしてIPアドレスから、プロバイダ名や会社名を調べます。

組織名が「Linode, LLC」
一瞬、Lineかと思いました(笑)
ところでLLCってなんでしょうか?

Wikiによると、アメリカの各州法に基づいて設立される会社形態の一つでLimited Liability Company、リミティッド・ライアビリティ・カンパニー、有限責任会社となっています。

日本では「合同会社」といい、2006年の新会社法施行によって、以前の有限会社の代わりに登場したそうです。
もう、有限会社って作れなくなってたんですね。

Linode, LLCはアメリカにあるホスティング会社のようですが、検索してみると架空請求やスパムなどのキーワードが出てきます。
あまり評判はよろしくないようです。(笑)

差出人のメールアドレスは、do_not_reply@line.me になっていますが、エラー時の返信先を示す「Return-Path」は wwyo@hadfaxah.comとなっています。

上記のは先月のメールですが、今月来たメールを見ると、FromのIPアドレスが前回のと違って、調べてみると、ヤフーになっていました。
「Return-Path」も前回と異なり、jkrt@cwdzvoqxi.com となっていました。
こちらも、前回同様に、ロリポップのフィルタリングで迷惑メールの烙印を押されてました。(笑)

 

 

何れにしても、リンクしているURLのドメインがLINE正規のものとは違いますし、メールアドレスとパスワードを要求してくること自体怪しいです。

手口もだんだん巧妙になってきているので、だまされないように気をつけないといけませんね。