稜山泊

2021年9月24日のロゴヴィスタ社から情報漏洩したという通知から、本日で352通目の詐欺メールが届きました。処置をいつでもできると放置していて、まだ受信しているのですが、今日届いた詐欺メールが面白いので紹介したいと思います。
　最初は、一般的な解説から始まります。面白い部分は、技術的に話となりますが、最後に説明いたします。興味が有る方は、最後をご覧ください。
　なお、詐欺サイトを間違ってアクセスするといけないので、urlの一部分を★マークに置き換えて説明します。



　まず、差出人のアドレスの末尾は、"cn"となっています。中国のサーバーから発信された事を示しています。この部分は、詐称する事は簡単なのですが、無知なのか手を抜いたのか。あまり重要ではありません。
　次にログイン先などで示されたアドレスをご覧ください。元々は、htmlメールなのですが、テキストメールとして開くと、誤魔化しの実態が良く見えます。アドレス部分のhtml記述を分かりやすく説明すると、次の様になります。ブラウザが勝手にリンクだと誤解するので、"https"の部分を"htps"と書き換えて説明します。

　記載されたurlは、次の形式。
htps://aaa.mufg.jp<htps:///bbb.bir★ill.com>

　「aaa.mufg.jp」と見せかけて、「bbb.bir★ill.com」に誘導する記述です。
　httpで記述するとこんな感じです。
<a href="htps:///bbb.bir★ill.com">htps://aaa.mufg.jp</a>

　まあ、詐欺の手口の話はこの程度にして。この誘導されるアドレスがまた面白い。「bir★ill.com」の部分が、誘導される先のサイトのドメインとなります。持ち主は、ネットの検索で簡単に調べることが出来ます。
　持ち主のドメインが分かりました。
http://wanwang.aliyun.com
　「阿里云企航」という企業でした。簡単に解説すると、中国で有名なアリババに関連するWebサービスの会社。詐欺師が、ここからドメインの提供を受けて、詐欺を働いているということになります。
　ここまでの内容は、Web技術に精通していると、調べれば分かること。興味があればと紹介したのですが。それほど面白くも有りません。いつもの中国だという話です。


　ここからが本題です。面白いのは、誘導先のurlです。ここもhtpsと省略して記載しますが。ポイントは、次のurlの「htps:///」の部分です。
htps:///bbb.bir★ill.com
　通常は、スラッシュは2本なのですが、スラッシュが3本も付いています。
　ネットで調べると、「fil:///」で解説が出ているのですが、「htps:///」となるとかなり深く検索しても出てきませんでした。だから、「fil:///」の意味から推測したのですが、興味深いことが分かります。ここも、ブラウザがリンクと勘違いするといけないので"file"を"fil"に置き換えて記述しています。

　自分のパソコンに保存されたhrlを開く時に次の様に記載します。
fil:///d:index.html
　これを書き換えると次の様になります。
fil://localhost/d:index.html
　「localhost」は自分のパソコンを示す記号です。わざわざ、自分のホスト名を書かなくても、「/」で省略する事ができるのです。
　そこで実験してみました。私のサイトで試すと。
https:///serios.mydns.jp/
　自動的に正しいurlにリライト(書き直す)してしまいました。
https://serios.mydns.jp/

　つまり、エラーとはならないのですが、間違った記述となっていたのです。
　100%推測なのですが。このメールを作成している段階で、詐欺師が自分のパソコンでテストしたので、次の様に記述していた。
fil:///bbb.bir★ill.com
　詐欺メールを完成させる時に、誤って次の様な記載にしてしまった。
htps:///bbb.bir★ill.com

　まあ、こんなメールに騙されるのも馬鹿らしいのですが、こんなメールで騙そうとしている詐欺集団の馬鹿さ加減に接したという話でした(まる)