あなたのApple ID情報は、Webブラウザ経由で変更されました。

朝目が覚めて、iPod Touchに届いているメールをチェックしてみると気になるタイトルのメールが届いていました。「Subject: あなたのAppleアカウントの異常な活動

先日、gmail アカウントで同様のことがあったため、ドキッとしてメールを開いてみると

Subject: あなたのAppleアカウントの異常な活動
Date: Thu, 24 Aug 2017 19:43:17 GMT
From: “contact@appleid.co.jp” <Apple-ID@sec-info.co.jp>
あなたのApple ID情報は、Webブラウザ経由で変更されました。

ログインしていない、またはWebブラウザから情報を変更して、誰かがあなたのアカウントにアクセスした可能性があると思われる場合は、Apple ID (ここをクリック).

日時: 2017年8月1日、午前7:20 GMT
ブラウザ: Chrome
オペレーティング·システム: Windows
国: Singapore
敬具、

Appleサポート

というメッセージが。

寝起きは駄目ですねぇ〜。疑うべきところを疑わないし、iOS上のメールアプリでチェックしたためメールヘッダーを確認することが出来ません。

リンクをクリックしてみると、、、、、iOS6のSafari が対応していないのか何も表示されませんでした。(今考えると恐ろしや。)

本文を見てみると、8/1 に異常なアクセスがあって、8/25に連絡が来る訳?しかも、Apple ID宛じゃなくて nifty のアカウントへ。

リンク先も、ページ内 URL は全て、「http://ow.ly/SPhF30eDQ6J」で、おかしい。

そもそも Apple ID は2段階認証を掛けているので、Webブラウザーからログインするには、毎回PINコードが必要となるので外部からのログインは不可能なはず。

ARENA Internet Mailer でメールヘッダーを表示させたのが以下。

怪しいところ満載です。

Return-Path: postmaster@mail-susp.com
Received: by conbox-081 id 599f2c570da95d; Fri, 25 Aug 2017 04:43:19 +0900
Received: from concspmx-07 (concspmx-07.nifty.com [172.26.8.134]) by conbox-081.nifty.com (Postfix) with ESMTP id 10AC2440074 for <my_mail_addr@nifty.ne.jp>; Fri, 25 Aug 2017 04:43:19 +0900 (JST)
Received: from mail-oi0-f97.google.com ([209.85.218.97]) by niftygreeting with SMTP id ky2AdGkdZ5foaky2AdzGK3; Fri, 25 Aug 2017 04:43:19 +0900
Authentication-Results: nifty.com;  spf=pass  smtp.mailfrom=postmaster@mail-susp.com;  sender-id=none  header.From=Apple-ID@sec-info.co.jp;  dkim=none;  dkim-adsp=none
X-Nifty-SrcIP: [209.85.218.97]
Received: by mail-oi0-f97.google.com with SMTP id n83so250826oig.3 for <my_mail_address@nifty.ne.jp>; Thu, 24 Aug 2017 12:43:18 -0700 (PDT)
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:message-id:mime-version:from:to:date:subject :content-transfer-encoding; bh=b3yer+pRUpQyKqwHopQekMtLs/ut0SrnH2BE1ZN1PPM=; b=ZPcGx/36KPRau6be4FYU0GxR1YGZYPete5Jw3IrroB3m0sG0afmhzFzY8jxZF2zMxq ahiJYENe3EmeNBlogWSfis5bMSchfklhtkScVhgPtxD2TXUmJyvsluEBI3nP3hIUei/B d0qCoK/5J3edy65QHRiRm3vctqsH0abIzLuVi3iGVruT6szM9ilKBMP0viuRzzTZbEEm WpUpM9DYdaREV8C/kPdoUTFBl+b3kjftfK3QNClxSHWAJuRdaxq99po9Znwz1CcXXQtw pAjtqAZnj11CI6HzChqpL4okh5lUNXXjiZP14nzsE8uOGDtEd85JOmWWCi1TH/R9d81x BFbQ==
X-Gm-Message-State: AHYfb5h5ZbhlvpFEykep8/USTg2YUBGXU1r/XfA4NoJWz7jUdInGqB6v UgV4PF3do4/IaRx1xv0TRnnRrnSCLt746QNBXsvz
X-Received: by 10.36.169.13 with SMTP id r13mr3036648ite.160.1503603797856; Thu, 24 Aug 2017 12:43:17 -0700 (PDT)
Received: from rdp2 ([35.193.129.52]) by smtp-relay.gmail.com with ESMTPS id 5sm1730741itj.6.2017.08.24.12.43.17 for <my_mail_addr@nifty.ne.jp> (version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128); Thu, 24 Aug 2017 12:43:17 -0700 (PDT)
X-Relaying-Domain: mail-susp.com
Message-ID: <599f2c55.051d240a.2afe3.80dfSMTPIN_ADDED_MISSING@mx.google.com>
MIME-Version: 1.0
From: "contact@appleid.co.jp" <Apple-ID@sec-info.co.jp>

From: が apple.com じゃない。Return-Path も mail-susp.com でAppleと何の関係がある?
中継ホストも、google.com で、フィッシングメール確定です。

Apple からのメールなら、「ご利用のApple IDがブラウザ上のiCloudへのサインインに使用されました」となるはずだし、送信元は、「 Apple <noreply@email.apple.com>」となります。

こんなメッセージを表示してしまうとは情けなや。とはいえ、パソコンではなく、iOSやAndroid 上のメールアプリで表示するとメールヘッダーを見られないから、事前に確認する方法がありません。

そして、Apple IDを騙るメッセージに続いて昼頃届いたのが、次のメール。

Return-Path: noreply@sagetop.com
Received: by conbox-081 id 599f5048729c4e; Fri, 25 Aug 2017 07:16:40 +0900
Received: from concspmx-09 (concspmx-09.nifty.com [172.26.8.136]) by conbox-081.nifty.com (Postfix) with ESMTP id EA94A44006F for <my_mail_addr@nifty.ne.jp>; Fri, 25 Aug 2017 07:16:40 +0900 (JST)
Received: from rrcs-24-213-216-91.nys.biz.rr.com ([24.213.216.91]) by niftygreeting with SMTP id l0QZdUabZaJUul0QadKU8N; Fri, 25 Aug 2017 07:16:41 +0900
Authentication-Results: nifty.com;  spf=softfail  smtp.mailfrom=noreply@sagetop.com;  sender-id=softfail  header.From=noreply@sagetop.com;  dkim=none;  dkim-adsp=discard
X-Nifty-SrcIP: [24.213.216.91]
Date: Thu, 24 Aug 2017 18:16:39 -0400
From: "noreply@sagetop.com" <noreply@sagetop.com>
Message-ID: <20170824.4385.43209.JavaMail.glassfish@NVM-P-SUB01>
Subject: Your Sage subscription invoice is ready
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_Part_c5adfaa4de08ea0bda30093196a2db0adf0f2449acb90703b16370ff0f8aadfdb812e41fac410214efee_adcf215984dc9dbe4a27cdcc5dfca309617712baef549382a9615a53.ecc71a2ba446c6c5df824bb6393a8e13397044ce05e01ac37847c35d.3976"
To: Undisclosed recipients:;
List-Unsubscribe: <mailto:unsub.sage@sagetop.com?subject=Unsubscribe_me>
Status: U
X-UIDL: 1503613000.X27F9C.conbox-081
X-Pop-Received-Date: 3586457991


Dear Customer

Your Sage subscription invoice is now ready to view.

Sage subscriptions 

To view your Sage subscription invoice click here  

Got a question about your invoice?

Call us on 0845 111 6604

If you're an Accountant, please call 0845 111 1197
If you're a Business Partner, please call 0845 111 7787

Kind Regards

The Sage UK Subscription Team

Please note: There is no unsubscribe option on this email, as it is a service message, not a marketing communication. This email was sent from an address that cannot accept replies. Please use the contact details above if you need to get in touch with us.

これに関しては、unsubscribe メールを送らせるのが目的かと思います。HTMLページは開きません。

本日21時過ぎに届いたのが今度は PayPal を騙るメッセージ。

[New Reminder] : Thank you for transact with PayPal, succes order google gift cards. "[25/08/2017]"

 

PayPalを騙るフィッシングメッセージ

これも、メールヘッダーを見てみると、

Received: by mail-qt0-f228.google.com with SMTP id c15so1157391qta.3
 for <my_mail_addr@hotmail.com>; Fri, 25 Aug 2017 05:58:50 -0700 (PDT)

という一行が見えます。

そして、Resolve Now のリンク先は、http://ow.ly/qSxh30eFClT 、またまた短縮URL。

今日だけで、3通も尤もらしいフィッシングメールが到着。また組織的な詐欺の時期でしょうか?

コメントを残す