『詐欺メール』三井住友カードから『SMBCカードアカウントの再認証が必要です』と、来た件

宛名がメールアドレスって

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

三井住友カードではないメールアドレス

本文の宛名がメールアドレスで書かれているメールが、三井住友カードから送られてきました。

カード口座にいくつかの異常が見つかったとのこと。
問題を解決するためにリンクにログインするように書かれています。
発生している問題点が箇条書きに書かれています。

短期間で多くの小額取引が発生していること
口座の資金が頻繁に変動し、金額の変動が大きいこと
口座へのログイン場所が異常で、通常のログイン場所と大きく異なること

何と言われましても、私は三井住友銀行に口座なんて無いので関係ありません。(笑)

最後の方の『この間、ご迷惑をおかけしますがご容赦ください。』と書かれた次の行
48時間と記載されたあたりに何か数字が重なってダブって見えています。
何が書かれているのかと思ってHTML形式のメールをTEXT形式に切り替えてみると
『2023/8/8』って日付が重なっていました。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] SMBCカードアカウントの再認証が必要です』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”三井住友カード” <axqj@service.ril167.com>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

三井住友カードの公式サイトでURLを確認すれば分かりますが、こちらの公式なドメインは”smbc-card.com”で
間違ってもこのような数字が使われたアメリカドメインではありません。(笑)

このメールアドレスから見てもこのメールは明らかに三井住友カードからではないので
特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

このIPアドレスはサイバーアタックの攻撃元

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received：『from service.ril167.com (unknown [107.173.111.142])』

”Received”は、差出人が利用したメールサーバーが自動で刻み込む情報です。
この情報を読み解くことで差出人の素性を垣間見ることができます。
では、この”service.ril167.com”と言うドメインに付いて少し調べてみます。

これがこのドメインの登録情報。
『Registrant State/Province: TOKYO』と記載があるのでこのドメインは東京で管理されているようです。
そして”107.173.111.142”がこのドメインを割当てているIPアドレス。
このIPアドレスを元に危険性や送信に使われたホスト情報とその割り当て地を確認してみます。