送信者が「警察庁」の迷惑メールをスマホで受信しました。
メールを保存して、スマホからPCに移動させ、ファイルの拡張子をvmgからemlに書き換え、サンダーバードで開いてみました。
フィッシングのリンクが貼ってなく、口座番号と電話番号が記載されているアナログな迷惑メールです。
電話番号と住所は警察庁のものです。
振り込む前に記載してある電話番号に電話したら、
本物の警察庁につながり詐欺だとバレてしまう稚拙な迷惑メールです。
それはさておき、メールヘッダから送信元を特定してみましょう。
Receivedが、
Received: from tukjrwobnyahads ([168.121.98[.]88])
となっているので、168.121.98[.]88 が送信元です。
ちなみに、Receivedに記載されている tukjrwobnyahads は送信サーバを表していますが、乱数で生成した偽装っぽいサーバー名ですね。
SPFを見てみましょう。
spf=softfail
smtp.mailfrom=manami.ishikawa244575@freenet.de smtp.helo=tukjrwobnyahads;
softfailとなっているので、
mailfrom=manami.ishikawa244575@freenet[.]de
は偽装の送信元だと判断できます。
送信元アドレスが偽装ということは、Received行のサーバー名:tukjrwobnyahads も偽装っぽいですよね。
DKIMもnone ですから、この不審メールは、警察庁を騙った迷惑メールであると判断できます。
ちなみに、偽装送信元メールアドレスの
manami.ishikawa244575@freenet[.]de
についてググってみましたが、該当なし。。。
それとは別に驚くべきことが判明しました!!
ソースコードのFrom行に書いてある内容で、
From: “=?UTF-8?B?6K2m5a+f5Y6F?=”
の部分を、Base64のコードを CyberChef でデコードしてみると、
「警察厅」になるんです。
警察 ”庁” じゃなくて、警察 “厅 “ です(笑)
中国の簡体字です(笑)
思わぬところでこの警察庁の迷惑メールは、中華製メールと判明したわけです。
もともとのメールをよく見ると、確かに「警察厅」なってますね(爆)
とりあえず、送信元の 168.121.98[.]88 をVirusTotalしてみましょう。
Scoreが 1 です。。。
普通にwhoisしてみると、APNICで該当しました。
会社名:TRIXNET SERVIÇOS DE TELEINFORMATICA LTDA
国:ブラジル
email: trixnet.ubatuba@hotmail[.]com
と判明しました。
ネットで調べると、「TRIXNET SERVIÇOS DE TELEINFORMATICA LTDA」 は、ブラジルの通信会社みたいです。
ですが、emailにhotmail を使っているため、ちゃんとした会社なのか謎です。。
以上から、今回届いた警察庁からの「重要なお知らせ」の迷惑メールは、送信元はブラジルの通信会社と特定できました。
そして、この警察庁からのメールは、情弱しか引っかからない迷惑メールだと判明しました。
コメント