『詐欺メール』「不適切なログインセキュリティ検証(paypay銀行)」と、来た件

paypay銀行を騙った不届き物
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
 

フォント見ただけで…

今回ご紹介するのは、サーバー巡回時に見つけた、paypay銀行を装い第三者不正ログインを
騙った詐欺メールです。

まず、真っ先に目につくのは”変わったフォント”です。
これは”Yahei”と呼ばれる中華フォントで日本人の私たちには少々見難いものです。
詐欺メールの多くはこういった中華フォントで作られたものが見受けられます。

では、プロパティーから確認していきましょう。

件名は
「[spam] 不適切なログインセキュリティ検証(paypay銀行)」
”[spam]”と付けられた時点でこのメールはアウトです。
”[spam]”は、受信したうちのサーバーが付加した注意喚起で、このメールに悪意があることを
示しています。

差出人は
「”<PayPay銀行>” <yjlbjvyk@japannetbank.co.jp>」
どーでもいいけど”yjlbjvyk”なんて意味不明はアカウント名はやめた方が良いと思います。
私なんか、このおかしな文字列見るだけで怪しいと疑いますよ。
japannetbank.co.jp”は確かに”paypay銀行”の正規ドメインですが、そんなのはウソ。
因みに”japannetbank.co.jp”は旧ジャパンネット銀行さんの正規ドメインで、現在は
”paypay銀行”さんが受け継いでいます。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<yjlbjvyk@japannetbank.co.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<20211013080424173375@japannetbank.co.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from japannetbank.co.jp (o6e0cv.cn [106.75.164.38])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
IPアドレスの前に書かれた”o6e0cv.cn”ってドメインはこのIPアドレスに
割当てられたドメイン。
ってことは、この差出人のドメインは”japannetbank.co.jp”ではないことを
示しています。
この結果、差出人のメールアドレス偽装が立証されました。

では、このo6e0cv.cn”ってドメインを使ってそのサーバーの位置情報を拾ってみましょう!


ドメインの持ち主は中国の企業様。
使われている地域は「中国広東省広州市」と出ています。
このメールは、この地に設置されたメールサーバーを介しこのメールを配信してきたようです。

めちゃくちゃ長いドメイン

では、本文を見ていきましょう。

※アカウントに不適切なログインが検出されたため、アカウントの制限を許可し、
24時間以内にアカウントのセキュリティを確認して、プロパティの安全性を確保し
てください。

最近、詐欺事件が多発しているため、お客様の口座のセキュリティを確保するため、
銀行のセキュリティシステムをアップグレードしました。お早めに個人情報の更新を
完了してください。
ご不便をおかけしますが、ご了承ください。

前半の項は、第三者による不正ログインの検知と安全性の確保のお話。
そして後半は、セキュリティアップグレードのため個人情報を指示に従って更新しろ
って内容。

前半の「アカウントに不適切なログインが検出された」ってのは、受取人個人の
お話なんでしょうか?
それとも特定のユーザーで起きた事例なのでしょうか?
もし受信者個人に宛てたものなら、セキュリティアップグレードのため個人情報更新
よりもそちらの対策が必要なのではないかと…
まぁ、詐欺メールなんでどーでもいいことですが(笑)

でもって、誘導されるリンク先のURLがこちらから始まる長いもの。

また中国ドメイン(;^_^A

それにしても長いですね。
paypay銀行がこんな長ったらしいドメインを使うかって話。

このドメインについても持ち主と割り当て地を調べてみましょう。


持ち主は、中国にあるアパレル企業さん。
そして割り当て地は「アメリカ・カリフォルニア州・サンタクラリタ」
ここは時々出てくる場所ですね。

差出人は、この地でこんなサイトを運営していました。

paypay銀行のログインページの完コピですね。
ここに情報を打込んで「ログイン」ボタンを押したら、その時点で万事休す。
それらの情報は差出人側に筒抜けとなり、様々な悪事に使われることになるでしょう。

まとめ

もちろん”[spam]”が付いてる時点でアウトですが、差出人のメールアカウントを見ただけで
ピンときましたね。
そして本文で使われている中華フォントとどっちつかずの本文。
見破るヒントは複数隠れていました。
後を絶たない悪意のあるメールに気を付けましょう!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールIPアドレス,japannetbank.co.jp,Message ID,o6e0cv.cn,PayPay銀行,Received,Return-Path,SMS,SPAM,wsrncyvmbsciaohqsygspdqxukjzbkcxcevbwidx,YaHei,サンタクラリタ,ジャパンネット銀行,ジャンクメール,セキュリティアップグレード,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メール,ワードサラダ,不適切なログインセキュリティ検証(paypay銀行),中国ドメイン,中国語フォント,中華フォント,個人情報更新,完コピ偽サイト,拡散希望,注意喚起,第三者による不正ログイン,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart