はじめに
Amazonを名乗るメールがiPhoneに届きました。似たようなメールが来ている方も多いのではないでしょうか。
中身を開いてみるとそれっぽいのですが、iPhoneの受信メールリストでは非常に怪しく見えます。ちょっと中身を解析してみましょう。
ヘッダー
言わずとしれたMHAにてヘッダーを解析しました。
https://mha.azurewebsites.net/
Amazonからのメールなのにvisaのサポートと思わしきアドレスを詐称されて届いていますね。
また、Creation Timeも+8000とのことで中華圏からのメールと想定できます。
ボディ
HTML4.0を使用しており、言語をjaを指定している様子。また、フォントでも日本語フォントを明示的に指定していて、日本をターゲットにしたメールということが読み取れますね。
文字コードはUTF-8を指定していますが、このあとの本文に含まれている文字の難読化のために使用しているようです。
本文のHTMLボディ部分には上記のUTF-8を使用したり、CSSのdisplay属性を使用した難読化が施されていました。
具体的にはUTF-8をエンコードした文字列を切り刻んで本文内に配置して、CSSのdisplay: none;を指定してランダムな文字列を画面描画時に非表示にし複雑なHTMLにしていました。
例えば1つ目に出てくる「=E6=A7=98」は「様」に変換されるようです。
受信メールボックスの本文プレビュー部分に不自然な文字が表示されていたのは、このCSSのdisplay: none;で本来非表示にする文字が非表示になっていなかったようです。
リンク
リンクには「hxxps[:]//suhai999[.]com/update」が設定されていました。明らかにAmazonではないですね。(日本語フォントが不自然なのは私のPC環境に指定されたフォントがないからです。。)
 |
Chromeで開こうとすると警告が出ますが、気にせず進んでみると。
もしアクセスしてしまったら
おそらくアクセスができた場合は、AmazonのIDやパスワード、クレジットカード情報を入力する画面に遷移すると思います。そこで何らかの情報を攻撃者側に渡してしまった場合は、速やかにパスワード変更やクレジットカードの利用停止を行ってください。
以下のページが参考になるのでリンクを張っておきます。
まとめ
いかがだったでしょうか。不審なものはクリックしないのが現代のインターネットを生き抜くうえで大切ですね。
コメント
コメントを投稿