『詐欺メール』「【重要】三井住友カードご利用確認」と、来た件

三井住友カード持ってないし！

ぎっくり腰でリモートしてた都合でサーバーの迷子メール処理を3日休んでたらこのざま。

これ、全部のジャンクメールじゃなくてブログにエントリーできそうなものだけ残した状態。
まぁよくも考えるものですよまったく…(汗)

じゃ、暇に任せて上から調査していくことにしますね。(笑)

件名は
「[spam] 【重要】三井住友カードご利用確認」

”[spam]”が付いてるんで迷惑メールの類だと一目でわかりますね。
本来は”[spam]”が付いてない件名なのですが、うちの受信サーバーが気を利かせて
付加した情報なんです。賢いっ！

差出人は
「”三井住友カード” <srnbo@rm32hvbnm.cn>」

見てこのアドレス。
”三井住友”って日本の歴史ある財閥企業でしょ？
それが”.cn”なんて中国のトップレベルドメイン使いますか？って話。
よくそんなアドレスで送る気になりますね、神経疑うわ。

そんな疑いを持ってソースにある差出人の”Received”フィールドを調べてみました。

”106.75.101.215”ってIPアドレスから導き出したドメインは、何と”rm32hvbnm.cn”
ってことは、”三井住友”を名乗って大胆にもご自身のメールアドレスを使い送ってきてるって
ことになりますが…

それにドメインの登録情報にある”Sponsoring Registrar”フィールドに書かれているのは
何度かフィッシング詐欺メール調査で見かけたことのある中国の会社名です。

”106.75.101.215”を元にその位置情報を確認してみると。

おおよそですが、”中国 河南省 鄭州市 ”と出ました。
差出人は、この位置情報に示された場所に設置されたメールサーバーを介してこのメールを
送ってきているんですね。

”smbc”が”srnbc”

しかしまあよくもぬけぬけと自分のアドレスを使って送ってきますね、子供でもやらんわ。

さて、気を取り直して本文に目を移しましょう！
何やら御託並べていますが、こんなのはリンクを押させる嘘ばっかりの内容。
金融関係を騙ったこれらのメールのほとんどが、馬鹿の一つ覚えの第三者利用を謳った同じ
内容で送ってきます。
もちろん同じグループの仕業なんでしょうけど。

そのリンク先はこちら

また中国ドメイン(汗)

間違わないでくださいね、このURLのドメインは”v8gag7y.cn”で”srnbc-card.com”では
ありません。
それに”srnbc-card.com”も下のように少し変えてきています。

”smbc”が”srnbc”

”r”と”n”で”m”に見えないことはないけど、何故そんなことする？
素直に”smbc”とすればよいのに、こいつらいつも一文字変えてくるんだよね。

この”v8gag7y.cn”ってドメインも先ほどのように調査してみると…

当然と言えば当然ですが、メールソースの”Received”で調べた登録者と全く同じ人物の
申請によるドメイン取得です。

そしてこのドメインは”180.215.203.42”ってIPアドレスに割り当てられてて、その割り当て
国はシンガポールと出ています。
もう少し詳しい情報を求めて地図情報の出るサイトで再度検索してみました。

もちろんおおよその位置ですが、シンガポールのほぼ中心部が表示されましたね。

”中国 河南省 鄭州市”に設置されたメールサーバーから自身のメールアドレスを使い
フィッシング詐欺メールを送り付け、”シンガポール”に設置したウェブサーバーで
ひそかに運営している完コピ偽サイトで詐欺を行っているんです。

ちょっと危険を冒して覗いてみると、完コピ偽サイトは現在も稼働していました。
ここでIDとパスワードを入力させてログイン情報と個人情報を詐取するのが目的なんです。

もし、あなたがVpassユーザーなら間違ってもこんなリンクは使わず、必ずVpassの
スマホアプリからログインしてください。
ってか、このようなメールに惑わされることはないと思いますがね(笑)