『詐欺メール』『（三菱ＵＦＪ銀行）振込受付のお知らせ』と、来た件

三菱UFJ銀行から立て続けに3通のメールが

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

朝も早よから振込だって

早朝に『三菱UFJ銀行』からメールが立て続けに3通。

何かと思って開けてみると。

今日の日付で『振込を受け付けしました』とのこと。
えっ？こんな早朝に？立て続けに3回も？中国のドメインメールで？(笑)
はてなが4つもついてしまいました(笑)

もちろんこのメールは悪意のある詐欺メール。
では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] （三菱ＵＦＪ銀行）振込受付のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
出ましたね、全角アルファベット。
詐欺メールは往々にして全角アルファベットがお好きです。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”bk.mufj” <bk.mufg1@pgrzimy.cn>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

『三菱UFJ銀行』の公式サイトでURLを確認すれば一目でわかりますが、三菱UFJ銀行の
公式なドメインは”mufg.jp”で、間違っても中国の国別ドメインを用いたこのような”pgrzimy.cn”
なんてドメインではありません！

この人誰？

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received：『from pgrzimy.cn (unknown [193.233.18.174])』

もうこのメールは三菱UFJ銀行の関係者からのものではないことは、メールアドレスのドメインで明白。
これは特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”pgrzimy.cn”が差出人ご本人のものなのか
どうかを調べてみます。
このドメインを割り当てているIPアドレスと”Received”に記載のIPアドレスが合致すれば
この差出人は、三菱UFJ銀行の関係者ではないもののメールアドレスに偽りはないことになりますが。

これがドメイン”pgrzimy.cn”の登録情報です。
それにしてもこの”Registrant”にある中国人のお名前、毎日数回出くわしますが一体どなたなのでしょうか？
ま、それはよしとして、これによると”193.233.18.174”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスは、差出人ご本人さんのもので
間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われたホスト情報とその割り当て地を確認してみます。

既にその界隈では知られ得ちるようで、このIPアドレスを元に割り出した危険度は『脅威レベル：高』
その詳細は『サイバーアタックの攻撃元』表示とされています。

送信に利用されたのは、『Global Internet Solutions』と言うロシアのプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのも、ロシアの『モスクワ』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは既に閉鎖

では引き続き本文。

三菱ＵＦＪダイレクトをご利用いただき、誠にありがとうございます。

2023年8月3日に振込を受け付けしましたのでご連絡します（受付番号　20230803-001）。
お取引については【入出金明細照会】または【お取引記録】でご確認ください。

▼入出金明細照会

万一、お心当たりのない場合はインターネットバンキングヘルプデスクまでお問い合わせください。

なお、本メールは、お取引の受付確認のために送信しております。
送信を中止することはできませんので、あらかじめご了承ください。

今後とも三菱ＵＦＪ銀行をご愛顧賜りますよう、よろしくお願い申しあげます。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『▼入出金明細照会』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

未評価ですか、もしかして既に閉鎖されているのかもしれませんね。

このURLで使われているドメインは、サブドメインを含め”ufjbank.cunqiao.cn”とまたしても
中国の国別ドメインですね。
このドメインにまつわる情報を取得してみます。

またしてもこの中国人の持ち物のようです。
このドメインを割当てているIPアドレスは”107.173.248.36”
再びこのIPアドレスを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。

サイト運営に利用されているホストは、アメリカの『ColoCrossing』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、アメリカニューヨーク州バッファロー付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

そっとリンク先の詐欺サイトを覘いてみましたが、やはり既に閉鎖されていました。
表示されたエラーは『404 Not Found』なので、意図的にサイトのページを削除したものと思われます。
但し、今ご覧いただいた通りドメインは破棄されておらずIPアドレスも割り当てたままなので
犯人は、いつでもサイトを復元させられる状態にありますので安心はできませんよ！