『迷惑メール』「ゆうちょダイレクト残高照会アプリ」による本人認証サービス開始と来た件

ごめん、私、ゆうちょ口座持ってなかったわ…<(_ _)>

毎週月曜朝の恒例行事

少し長いタイトルになりましたが、わかりやすいように受信メールの件名をそのまま
使いました。
悪しからずご了承を…

さて、最近月曜恒例と化した迷惑メールのご紹介♪
今日は『「ゆうちょダイレクト残高照会アプリ」による本人認証サービス開始』と言う件名。

まずはメールの内容を。

毎度のことながら件名にはサーバーが仕分けした「spam」の文字が文頭にあるのと
愛用メールソフト「Thunderbird」も真っ赤なメッセージで警告してくれるので
一目瞭然でそれとわかります(*^^*)

だいたい私、ゆうちょ銀行に口座自体持ってないのでやりようがありませんしね。

差出人アドレスは偽装

いつもは相手のアドレス晒しませんが今回は分けあってモザイクなしで。
と言うのもメールヘッダーにある差出人には「【ゆうちょ銀行】 <info@e-tax.nta.go.jp>」
とありますが、少し下の「Return-Path」って所で「vwozoy@rcwgxcyk.org」が差出人の
実際のアドレス。

メールソフトの設定で差出人ってのは実際のメールアドレスではないものも設定可能。
例えば「Thunderbird」の場合。

名前の所に入れた文字列が「差出人の名前」でその後ろに続くアドレスが
一段下の「メールアドレス」になります。
だから差出人の偽装は簡単なのです。

因みにメール差出人に書かれているうそのメールアドレスのドメイン「e-tax.nta.go.jp」
に接続してみると、「ゆうちょ銀行」ではなく国税庁の「イータックス」のページに
接続されます(笑)

そして文中に書かれている
「ゆうちょダイレクトサポートデスク電話：０１２０９９２５０４」
の電話番号は実際の物でした。

偽リンクを辿らせて詐欺サイトに誘導

詐欺メールの手口は、メール文中に配置されたリンクから詐欺サイトに誘導し
IDやパスワードなどを盗み取るのがほとんど。
今回のメールも文中にある
『こちらのURLをクリックしてください
https://www.jp-bank.japanpost.jp/kojin/loan/kjmin』と書かれた所。

ここに書いてある「https://www.jp-bank.japanpost.jp/kojin/loan/kjmin」
これも偽装。
書いてあるアドレスと実際に接続するアドレスは全く別物。
メールソフトでリンクのURLをコピーしてみると

こんなアドレスであることが判明します。
「https://www.liumaoou.com/」

で実際にメール文中に書かれているアドレスをコピーして接続してみると。

となるのでゆうちょ銀行のドメインですが実在しないページと表示されます。

怪しいページに接続してみる

では、本当のリンクに接続してみると…

いつものようにバスターの警告ページが表示されると思いきやリンク切れ…
既に対処されたのか閉鎖したんでしょうか。

ヘッダーからIPの調査

では、恒例のIPによる発信元の調査。
いつものように「サーバー監視/ネットワーク監視サービス」さんの「WHOIS情報検索」で
メールのヘッダーから取得した発信元のIPを貼付けてポチっと
…
…

今回は香港に設置されたメールサーバーから発信されたものでした。

既にリンクは閉鎖されていましたが一応『迷惑メール相談センター』に通報。

迷惑メールを通報される際は届いたメールを『迷惑メール相談センター』に転送
するのですが、その際は下の図のようにメールのヘッダーをすべて表示させた状態で
転送してください。

万一に備えて是非導入を！