『詐欺メール』『【重要なお知らせ】三井住友カードご利用確認のお願い』と、来た件

★フィッシング詐欺解体新書★

『三井住友カード』に成りすますメールが大量に！

いつもご覧くださりありがとうございます！

またしても同一件名のメールが一晩に大量に届きました。
今回は『三井住友カード』に成りすますもので一晩に198通4.09MB。
もうディスクの無駄遣いでしかありませんね。(;´Д｀)

これらはうちのメールサーバー内に迷子メールとして残されていたもので、うちのサーバーの場合アカウント(@以前)が間違っていてもドメイン(@以降)が正しい場合、メールサーバーに保存するように設定してあり、このように詐欺メールや迷惑メールが大量に残されることがあるのです。

ではこれらのメールの中から、一番新しいものをチョイスして中身を見ていきましょうか。

『最近行われましたプライバシ–ボリシ–の改定に伴いまして、こ確認のお手続きは、一回限りで、数分で終了致します』
って誤字がある片言のような日本語を使ったくだりは詐欺メールのテンプレートで、三井住友カードに限らず様々な詐欺メールでよくみられます。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

中国北京市内から発信

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”contact2.vpass.ne.jp”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
確かに『vpass.ne.jp』は三井住友カードさんが利用するドメインですがこれは偽装の可能性大。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探って偽装を見破ってみます。

こちらがこのメールのReceivedフィールドがこちらです。

ほらほら、ここには『3hsgkhlam.top』なんて別のドメインが記載されていますよ！
これで『vpass.ne.jp』は偽装確定。

では、ドメイン”3hsgkhlam.top”を割当てているIPアドレスとReceivedフィールドのIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”3hsgkhlam.top”を割当てているIPアドレスです。

完全に合致しましたね！
ということでこの送信者のメールアドレスのドメインは”3hsgkhlam.top”で確定です。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、中国 北京市にある『海淀区(かいでんく)』付近であることが分かりました。

本物そっくりな詐欺サイトが無防備に放置中

さて、本文の『ご利用確認はこちら』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://recovery-nqef.top/smmmnv/】
(直リンク防止のため一部の文字を変更してあります)
今度は『三井住友カード』のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、詐欺サイトでありがちな香港の『九龍地区(Kowloon)』付近であることが分かりました。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

このような本物そっくりな偽サイトが放置されているとはとても危険です！
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;