偽装を見抜け!量が膨大過ぎてご紹介したかどうか分からなくなってしまいます。(;^_^A たぶんこれはまだ紹介してないものかと思います。 詐欺メールではありがちな、第三者不正利用をネタにリンク先で詐欺をしようとするもので ビューカードって言うクレジットカード会社を装ったフィッシング詐欺メールです。 今回は、このメールを解説していきたいと思います。 では、プロパティーから見ていきます。 件名は 「[spam] 【重要】ビューカードご利用確認」 このメールは”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”VIEWCARD” <qbinh@viewsnet.jp>」 ”viewsnet.jp”は、ビューカードさんの正規ドメインですが、これは偽装です。 だいたいアカウントに”qbinh”なんて意味不明なもの使いますかって話… では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<qbinh@viewsnet.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220119014756733234@viewsnet.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from viewsnet.jp (unknown [152.32.181.83])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
もし、このメールが本物のビューカードさんからならば、ドメイン”viewsnet.jp”は ”Received”に書かれている”152.32.181.83”に割当てられているはずです。 では、このビューカードさんのドメイン”viewsnet.jp”を調査してみると。 ”Received”に書かれているIPアドレスとはかすりもしない全く異なる数字が出てきましたね。 これで、メールアドレスが嘘であることが確認できました。 では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。 あらあら、アラブ首長国連邦のドバイ付近の地図が表示されちゃいました…(笑) まさか、日本のクレジットカード会社がこのようなところにあるサーバーからメールを 送ると思いますか?
リンク先のドメインに注目!では引き続き本文を見ていきます。 書いてあるのは、詐欺メールではありがちな「第三者不正利用」を理由にリンクへ誘い こもうとするものです。 そのリンクは、メールに直書きされた”vievvnet_jp.46nwd.net”から始まる呪文のように 長い数字ばかりのURL。 このURLのドメインは”46nwd.net”で”vievvnet_jp”ではありませんのでご注意を! 不親切にも”http://”ってプロトコルが付けられていないのでクリックでリンクに接続する ことはできません。 ではまず、このリンク先のサイトの評価をノートンのセーフウェブレポートで見てみます。 (見難いときは、クリックし拡大してください) これによると「サイトにアクセスする場合には注意が必要です」とのこと。 やはり危ないサイトのようです。 引続き、このドメイン”vievvnet_jp.46nwd.net”の持ち主と割り当て地を確認していきたいと 思います。 「Registrant State/Province: FuJian」と「Registrant Country: CN」から 持ち主は中国福建省の方と判明。 割当てているIPアドレスは”172.67.157.248”って事なので、これを使いその割り当て地を 確認してみます。 結果は、アメリカニュージャージー州ニューアークって街付近のようです。 この場所に置かれたウェブサーバーで運営されているのはビューカードさんの偽サイト。 完全にコピーされていますね。 サイトの完全コピーなんてちょっとした知識とアプリさえあれば誰でも簡単にできて しまうのでこういうことが起こるのです。
まとめ「第三者不正利用を掲げるメールは嘘」と認識していれば騙されることはありません。 不正利用は緊急性を伴うので、クレジットカード会社からの連絡は電話だと思いますから。 ビューカードさんに限らずクレジットカード会社を騙る詐欺メールは後を絶ちませんので 十分ご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |