『詐欺メール』「三井vpass:口座残高の引き上げ通知」と、来た件

味も素っ気もないメール

ほんと最近三井住友やSMBCに関するフィッシング詐欺メールが多く届きます。
今度は大胆にもメールアドレスがあからさまにおかしななりすましメールが届きました。

内容はこれだけ…
味も素っ気もない寂しいメール本文です。
そしてこの手のメールに多い不気味な中国のYaheiフォントが使われていますね(^^;
このフォントにピンときたら要注意ですよ！！

あっ、これ既に退社して席の無いスタッフ宛に届いたメールです。
この方へのブラックメールはかなり多いので、在籍時には結構ブイブイやらかしてたんで
しょうね。
退社してもこうやって会社に存在感を示せる社員なんてある意味凄い事ですね(笑)

メールのプロパティはこちらです。

件名は「 [spam] 三井vpass:口座残高の引き上げ通知」
まず[spam]は”スパムスタンプ”と言ってメールサーバーで悪意のあるメールと判断された証拠。

そして差出人が「 “S M B C” <zg@kjvbskwmaorg.cn>」
“.cn”とあるので中国のドメインですね。
そして”S M B C” の記載は気味な全角となっています。
確か先回のも”S M B C” だけ全角でしたね(^^;

でもこのメールアドレス、どうも怪しいので調べてみると…

対応するIPアドレスの割り当てが無いのでどうやらウソのメールアドレスらしいです。

そこで、メールのヘッダーソースを表示させて調べてみることに。

エラー時の返信先”Return-Path”も”zg@kjvbskwmaorg.cn”と記載されていますし
”Message-ID”も<B58B324A9CA92BE4C6F6203F483A6B8F@kjvbskwmaorg.cn>と
同じ”kjvbskwmaorg.cn”ってドメインが記録されています。

では、差出人の情報が分かる”Received”フィールドなっているのでしょうか？

これで見ると差出人のIPアドレスは”118.27.79.109”と書かれていますね。
こおｎIPアドレスの情報がこちら。

割り当て国が日本か…
ああ、また”static.cnode.io”ですか…(;^_^A　ちょいちょい出てきますねこのドメイン。

おおよその所在地もやはり東京と出ました。

メール本文に記載されている内容はこれだけ。

よく意味が分かりませんが、何か三井銀行に評価されたらしい。
その対価としてお金でも吹き込まれたのでしょうか？
「口座に信用金額をアップします」と書かれています。

残念ですね～、メールの宛先は退社したスタッフなのでこの内容は届けられません(笑)

それにしても、ちょいちょい半角スペースが用いられていますが、何か意味あるのでしょうか？
それと、句読点の使い方間違っていますよ。

本文最後にある”VpassID ログイン”と書かれている所が詐欺サイトへの入口です。
このリンク先URLがこちら。

また”.top”なんて使い捨て用の格安ドメイン使っていますね。

このドメインの取得状況はこんな感じです。

登録は中国の北京から申請されています。
一応マスクしときましたが、名前や住所、電話番号はどうせ嘘でしょう。
そして登録されたのは10月25日だから昨日です(笑)
そして使い捨てなので単年契約とされていますね。

リンク先の偽サイトへ行ってみましたが、ウィルスバスターに一旦は遮断れましたが
無視してみたところSMBCの完コピサイトが開き現在も稼働中です。

皆さん、絶対につながないように！
もちろんログインなんてしてはいけません！！
くれぐれも注意してくださいね。

それにしてもあの退社した方、別の会社に就職されたらしいのは風の噂で聞きましたが
そちらでもブイブイやらかしてるんでしょうか？
だとしたらヤバイことになっていないか少し心配です…(;´･ω･)