Apple サポートになりすますフィッシングメール

昨年あたりから出回っている、Apple サポートをかたったフィッシングメールがまた最近届いています。
このフィッシングメールの特徴は

1 メール本文中に外部へのリンクがない
2 添付ファイルがPDF
3 添付ファイル自体にウィルスなどは仕込まれていない
4 添付PDFの中にあるリンク先がフィッシングサイト

というように、セキュリティの網をくぐり抜けるための工夫がされていることです。
 
そんな工夫も、差出人のアドレスが怪しくて、本文の日本語がおかしいので、すぐに気がつくレベルです。
そして、よくよく見れば添付ファイルや最後の署名にある「Apple サポート」
Applel(小文字のエル)が
AppIe(大文字のアイ)になってるし。
※ 追記
  AppleAρρlepがギリシャ文字のローρ)になっているパターンのフィッシングメールもあるようです。
 


※ 追記2
 そういえば、しばらく前にこんな記事がありました。
 GoogleのようでGoogleではない謎のサイト「ɢoogle.com」が出現(https://gigazine.net/news/20161122-google-is-not-google/)
 Unicode で書かれた文字を変換して、DNS(ドメイン名)で使うことができる文字コードにするPunycode(ピュニコード)の技術を悪用したものですが、今回のフィッシングメールはその一つ前の段階のURL偽装の一種みたいにも思えます。
 さらに、Pnycodeを悪用したhomograph attack(ホモグラフ攻撃)にはこんな例もありました。
 人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ(https://gigazine.net/news/20170418-fake-domain-homograph-attack/)
 Punycode対策したFirefoxや、最新版のMicrosoft Edge、Google Chromeではリンクにマウスポインタを載せた時に表示されるアドレスは偽装前のものになり、注意して見ればリンク先が偽装かどうか判別することは可能です。
homograph-attack
 とはいえスマートフォンやタブレットなどマウスホバーアクションのないブラウザでは、リンクを長押ししないとリンク先URLを確認することができません。要注意!


 
また、宛先が「undisclosed-recipients」になっているのは、BCCでアドレスを指定しているためだと思われます。普通は宛先ひとつなのにBCCで送る事なんてないですよね。
こんなメールは即座に削除。
 
フィッシングメールAppIeサポート

差出人 Apple サポート <icloud-ohioapps7934@aasowcaw.com>
件名 Re:[疑わしい活動] 2018年9月04日、最新のログインアクティビティ
宛先 undisclosed-recipients
添付ファイル AppIe サポート.pdf
内容
アカウントの最新のアクティビティを検出します
あなたのアカウントは別のブラウザで検出され、ロックされています
24時間以内にアカウント情報を更新しないとIDを更新すると、アカウントは完全にロックされます。

以下の添付ファイルをお送りします。
添付したファイルを読んだりダウンロードしたり、アカウントを更新してください。

ありがとうございました
AppIe サポート。