paypal偽装メール

paypalを偽装したメールが届きました。

次の画像はそのメールです。

paypalというのは、クレジット決済会社で海外のネットショップではよく使われています。
ネットショップで購入するとこのようなメールが届きますが、それを偽装しています。


このパターンでよくあるのが、クリックするとpaypalの管理画面にログインするような画面を表示し、IDとパスワードを入力させて、ログイン情報を盗む手口ですが、今回は違いました。

この記事を書くために勇気をもってクリックしてみました。(真似はしないでください)

すると、ブラウザが立ち上がり、あるURLを開きにいき、そのままプログラム(Java Applet)が実行されようとしましたが、ウイルス対策ソフトのチェックがかかり、実際には実行されませんでした。

チェックポイント

メールを見るとすぐに怪しいとわかります。
上の図で赤で囲まれたところが送信者のメールアドレスで、次の図が拡大したものです。


送信元アドレスが次の様になっています。
service@paypal.com

左側がメールソフトで表示される、送信者名で右側が実際のアドレスです。

見かけ上はpaypal.comから送られてきたように見えますが、実際には違うアドレスから送られています。

以前は右側のアドレスもpaypal.comと偽装して送ってきたりしていましたが、さすがにそう言うのはウイルス対策ソフト等でチェックがかかるようになりました。


こういうメールが届いたら、すぐに削除しましょう。


記録用にメールヘッダ情報

Return-Path:
Received: from sv3.spamtrash.jp (sv3.spamtrash.jp [59.106.107.14])
by sv1.csplus.jp (8.13.1/8.13.1) with SMTP id r1SMr3Ux024974
for ; Fri, 1 Mar 2013 07:53:03 +0900
Received: from ([94.65.133.144]) (envelope sender: )
by sv3.spamtrash.jp with SpamTrash esmtp server;
Fri, 1 Mar 2013 07:52:58 +0900
Received: from apache by cantabella.org with local (Exim 4.67)
(envelope-from )
id 1XB5K3-OHDSC6-P1
for ; Fri, 1 Mar 2013 00:52:57 +0200
To:
Subject: Receipt for your PayPal payment to Yasushi Higuchi
X-PHP-Script: cantabella.org/sendmail.php for 94.65.133.144
From: "service@paypal.com"
X-Sender: "service@paypal.com"
X-Mailer: PHP
X-Priority: 1
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="------------02020100506060406030608"
Message-Id:
Date: Fri, 1 Mar 2013 00:52:57 +0200
Status: RO