『詐欺メール』「お利用を制限いたしました」と、来た件

金融機関の数だけ詐欺メールがある

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

理由も書かずに利用制限って…

水が湧くようにいくらでも送られてくる詐欺メール。
今度は『GMOあおぞらネット銀行』を騙ってきました。

『お利用』？？
もしかしてこの差出人は、日本語が苦手？？(笑)

どうやら私のアカウントの利用制限をしたようなのですが、その理由が何なのか全く何も書かれていません。
元々私、GMOあおぞらネット銀行に口座持ってないので、このようなメールを送られても
対処のしようがありませんけどね…(笑)。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「[spam] <GMOあおぞらネット銀行>お利用を制限いたしました」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”GMOあおぞらネット銀行” <norelay@axfy.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

毎度のお話ですが、GMOあおぞらネット銀行さんの公式なドメインは”gmo-aozora.com”で
”axfy.cn”なんて中国のドメインのものではありません。
信用第一の金融機関が、中国ドメインのメールアドレスでユーザーにこのような重要な
メールを送るなんて誰が考えてもおかしな話です。

最近よく見掛ける地図が

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

Received:「from axfy.cn (unknown [117.50.177.190])」

この時点でこのメールは、明らかにGMOあおぞらネット銀行さんが発したものではないことは
明白な事実です。

では、メールアドレスにあったドメイン”axfy.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”axfy.cn”の登録情報です。
これによるとこのドメインの申請者は、漢字2文字の氏名の方で恐らくは中国の方。
そして”117.50.177.190”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスがと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

この位置は、最近よく見掛ける気がします。
送信に利用されたのは、よく見掛けますね・・・
ホスト名に”wf4de84.cn”なんてドメインも見えるので、このIPアドレスには複数のドメインが割り当て
られていることが分かりますね。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、中国の「北京」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは遥か遠いヨーロッパの街で構築

では引き続き本文。

お利用を制限いたしました
アカウントのご利用を制限いたしました。

いつもGMOあおぞらネット銀行をご利用いただき、ありがとうございます。

お客さまのアカウントを制限させていただきましたので、お知らせします。
取引規制日2023/6/19
※このメールは送信専用のメールアドレスを使用しています。返信は受け付けておりませんのでご了承ください。
※このメールにお心あたりがない場合やご不明な点等がございましたら、当社までお問い合わせください。

利用制限を解除
ＧＭＯあおぞらネット銀行株式会社(金融機関コード：0310)
東京都渋谷区道玄坂1-2-3 渋谷フクラス
© GMO Aozora Net Bank, Ltd. All Rights Reserved.

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは「利用制限を解除」って書かれたところに付けられていて、
そのリンク先のURLとGoogleの「透明性レポート」のサイトステータスは
このようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”gmo-acozocriab.icu”

このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは”198.251.84.78”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているウェブサーバーは、所謂『防弾ホスト』と呼ばれることで知られる
『FranTech Solution』なんてホスティングサービスのようです。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、ルクセンブルクの『Bissen』と言う街付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本家のサイトを確認しましたが、まったく見分けがつかない本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。