オノコロ こころ定めて

http://twitter.com/umayado17 国恥の尖閣9・24を忘れぬ為 パンダにしておきます。臥薪嘗胆!

全体表示

[ リスト ]

[Yahoo! JAPAN]ログインアラート を名乗る詐欺メールが来た。
ダマされないように手口と対策を公開しておきたい。
これに乗せられると、YahooのログインIDとパスワードが盗まれ、
やられ放題になる。




Yahoo! JAPAN Login Alert <loginalert-master@login.yahoo.co.jp>
という、おそらく正規のアドレスより、
次のような警告メールが送られてきました。

<追記> Yahooのカスタマーセンターによると
正規のアドレスは
  loginalert-master@mail.yahoo.co.jp
だそうだ。


いつもYahoo! JAPANをご利用くださいまして、誠にありがとうございます。

普段お客様がご利用になられていない環境で米国IP(198.13.102.209)によったYahoo! 
 JAPANへのログインがありました。

今度行為に対処してお客さんは自分のログイン情報を確かめるのが有益です。

■「ログイン履歴」と「登録情報」に心当たりがない情報がないかご確認ください。

 https:// hl.login.yahoo.co.jp/

■注意事項
 ・このメールはお客様のYahoo! JAPAN IDに関する情報が含まれていますのでお取り扱いには十分ご注意ください。
 ・メールに記載されたURLからページに遷移後、Yahoo! JAPANのページであることを念のためご確認のうえ、情報を入力してください。
 ・ほかのメールアドレスへの転送やサイトへの記載内容の投稿は絶対に行わないでください。Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved.


自分のアカウントがアメリカで勝手にログインされたようなので、
チェックしろ、という一見善意のメールですねぇ。

ただ、よく見てみると

普段お客様がご利用になられていない環境で米国IP(198.13.102.209)によったYahoo! 
 JAPANへのログインがありました。

今度行為に対処してお客さんは自分のログイン情報を確かめるのが有益です。

の日本語があやしい(笑)
お前は、Google翻訳か!、とツッコミを入れたくなるような
微妙な日本語。


さらに、ログインのURLにスペースが紛れておりまして

https:// hl.login.yahoo.co.jp/」 (https://の後に半角スペース)

これでは、URLのクリックができません。


私はいつもメールの表示のデフォルトはテキスト表示で、
HTML表示は使いません。
あやしさに気づきにくくなるから。

念の為にこのメールをHTML表示してみますと

イメージ 1

と表示され、URLの部分はスペースが入ってはいるものの、
クリックできる状態になっております。


念のため(笑)、ソースを表示してこの部分をみますと、
本当にリンクする先は、

イメージ 2

の青色の部分です。
Yahooとは何の関係もないアドレスですね。


で、念のため(笑)、そこへジャンプすると、
良い子は真似しないで下さいね〜
すると、なんということでしょう〜

イメージ 3

という、さも本物らしいサイトになっております。
おい、おい、いま話題のファミマかよ、ってツッコミはおいといて。
よくよく見ると、
などと文字化けしてるわけです(笑)


で、念のため(笑)、ログインしてみると・・・
良い子は真似しないで下さいね!

イメージ 4

伏せ字のところは 「kue」 になってます(爆


すると、なんということでしょう〜

イメージ 5


画面は、正規のログイン履歴画面になるではありませんか!
鈍い人であれば、この画面をみて、

  よかった♡ アメリカからのログインないお!

とかとかとか思うんでしょうか・・・。



もちろん、さっきのログイン画面は偽物で、
バカ正直に、IDとパスワードを入れていたら、
これで、さくっと、正規IDと正規パスワードを取られちゃった
ということになるわけでして、
今頃相手は大爆笑、ということになるわけです。

元のメールがウソ
アメリカからログインされた、というのもウソ
ログインへの誘導先URLがウソ
ログイン画面もウソ

そして、この

ログイン履歴のみが本物

というフィッシング詐欺です。

Yahoo Japanのセキュリティの甘さで、
ログイン履歴をみる時に、正規の認証が必要なくても見れる、
というセキュリティ・ホールをついてるんだと思います。


<追記>
メールのヘッダーを見たところ、
イメージ 6
発信源は
  IP: [202.238.84.153]
で、so-netの
  dw237728@wj8.so-net.ne.jp
のアカウントを使って発信しているものと考えられる。
また

Received-SPF: pass (ms-omx03.so-net.ne.jp: domain of dw237728@wj8.so-net.ne.jp designates 202.238.84.153 as permitted sender) receiver=ms-omx03.so-net.ne.jp; client-ip=202.238.84.153; envelope-from=dw237728@wj8.so-net.ne.jp;

この部分は、送信に使われた dw237728@wj8.so-net.ne.jp が存在していて認証に成功したということを意味している。だから、送信者は、dw237728@wj8.so-net.ne.jp のパスワードを知っている者ということになる。
次に

Authentication-Results: mta546.mail.kks.yahoo.co.jp  from=login.yahoo.co.jp; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@login.yahoo.co.jp

の部分は、送信者が偽装した、メールの送信元のアドレスである loginalert-master@login.yahoo.co.jp を認証した部分だが、yahoo.co.jp の認証システムがザルで、「login.yahoo.co.jp」というドメインは不正だとはせず、「neutral 送信元の認証ができたかどうか明らかにしていない」を返した記録である。

つまり、so-net はちゃんと仕事をしたが、yahoo はメール偽装に対して誠実な仕事をしていない、という証拠である。

●対策

対策ですが、

1.メールはHTML表示しない
2.メールの中のURLはよくよくチェックする
3.パスワードの使い回しはしない
4.渡る世間は鬼ばかり、と達観する
5.Yahooと縁を切れるひとは切りましょうね(笑)

をおすすめします。

ネット詐欺が流行っております。
くれぐれもご注意を。


<追記>


「海外、特に米国を中心として大きな被害を生んでいるフィッシング詐欺に関する事例情報、技術情報の収集及び提供を中心に行うことで、日本国内におけるフィッシング詐欺被害の抑制を目的として活動しております。」

イメージ 7

さっそく、通報しておいた。

この記事に

閉じる コメント(19)

ありがとうございます。転載・拡散させていただきます。

2014/7/25(金) 午後 0:02 watch_compass 返信する

watchさん

よろしくお願いいたします。

2014/7/25(金) 午後 0:05 うまやど 返信する

顔アイコン

転載させて頂きます。

応援&今日のランクリ ナイス ポチ凸

2014/7/25(金) 午後 0:33 hito 返信する

Hitoさん、

お久しぶり。ありがとうございます。

2014/7/25(金) 午後 0:56 うまやど 返信する

ありがとうございます。
恐ろしいですね。
ポチ、ランクリ

2014/7/25(金) 午後 6:15 [ くものす ] 返信する

くものすさん

渡る世間は鬼ばかりでやんす

2014/7/25(金) 午後 7:44 うまやど 返信する

顔アイコン

有難うございますっ!

早速転載させてください☆

2014/7/25(金) 午後 11:03 [ ちびっこライダー ] 返信する

顔アイコン

ご無沙汰しております。
極めて興味深い内容をご提供いただきまして、ありがとうございます!
ブログ応援と情報拡散のため、ナイス!&転載&トラックバック&ランキングボタン×2を押下しました!

2014/7/26(土) 午前 0:50 [ 小窪兼新 ] 返信する

悪即斬さん

転載ありがとうございます。

2014/7/26(土) 午前 10:03 うまやど 返信する

顔アイコン

小窪兼新さん

お久しぶりです。国際情勢が動いていますねぇ。日本の軍拡が遅いのでイライラしています。

2014/7/26(土) 午前 10:04 うまやど 返信する

ご無沙汰しております。
転載させてください!

ナイス!

2014/7/30(水) 午前 9:03 たけし 返信する

たけしさん

転載よろしく!

2014/7/30(水) 午前 9:19 うまやど 返信する

顔アイコン

Twitterのメッセージわざわざありがとうございます。最近フォローさせていただいている方々がうまやど様をリツイートしておりまして興味を持ったのでフォローさせて頂きました。ブログの方も拝見させて頂きます。
Twitterのアカウントは【佐藤G様】でやらせていただいている者より 削除

2014/7/30(水) 午後 4:28 [ goodsummerjam ] 返信する

ありがとうございます。

followさせていただきました!

2014/7/30(水) 午後 7:09 うまやど 返信する

顔アイコン

ありがとうございます。転載・拡散させていただきます。

2014/7/30(水) 午後 10:29 [ ちびママ ] 返信する

よろしくお願いします!

2014/7/30(水) 午後 10:37 うまやど 返信する

申し遅れまして、すみません。
たけしさんの所から寄せていただきました。
私のブログはお友達・ファン登録の方しか見れませんが、転載・拡散させていただきます。

2014/7/30(水) 午後 10:44 [ ちびママ ] 返信する

そうでしたか、ありがとう!

2014/7/31(木) 午前 7:40 うまやど 返信する

顔アイコン

はじめまして、なかなかPCにお詳しい様子で感激しました。こんな詐欺もあるのですね、参考にさせていただきます。ありがとうございます。 削除

2014/8/10(日) 午前 6:11 [ 黒夢想三太夫 ] 返信する

コメント投稿

顔アイコン

顔アイコン・表示画像の選択

名前パスワードブログ
絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
投稿

開く トラックバック(1)


.


みんなの更新記事