アプリ紹介に紛れ込んだ詐欺サイトへのリンク 三菱UFJ銀行から不思議なメールが届きました。
 件名では『【重要】毎月の公共料金、いくら払っているか把握してますか?』と問いかけています。
宣伝や広告メールなのかと思って中身を見ると、どうやら『Mable』と言う三菱UFJ銀行が無料で提供する
家計簿アプリの紹介のようです。 差出人欄は『三菱UFJ銀行 <bk.mufg1@1y63x.cn>』とされており、差出人名は『三菱UFJ銀行』で
差出人のメールアドレスは”bk.mufg1@1y63x.cn”と中国の国別ドメインで構成されています。
皆さんもうお分かりですよね?
そう、三菱UFJ銀行が中国の国別ドメインを使ったメールアドレスでメールなど送るはずないので
このメールは悪を持って送られたもの。
すなわち詐欺メールなのです!
本文を良く見ると、こっそり詐欺サイトへ誘導させるための『ご請求明細』と書かれたリンクが
付けられていますよね。 では次の項でこのメールに悪意があることを証明していきます。
サンクトペテルブルク経由で送信 では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from 1y63x.cn (unknown [95.215.108.15])』 | この”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。 では、これを元にメールアドレスにあったドメイン”1y63x.cn”が差出人本人のものなのかどうかを
調べてみます。
 これがドメイン”1y63x.cn”の登録情報です。
これによると”95.215.108.15”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じ数字なのでこのメールは三菱UFJ銀行からのものではないものの
偽装はされておらずこのメールアドレスは、差出人ご本人さんのもので間違いなさそうです。 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われたホスト情報とその割り当て地を確認してみます。
 やはりこのドメインの持ち主は悪意を持っていますね。
このIPアドレスを元に割り出した危険度は『脅威レベル:高』
その詳細は『サイバーアタックの攻撃元』表示とされています。 送信に利用されたのは、『Global Internet Solutions』と言うプロバイダーです。 位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、ロシア第二の都市『サンクトペテルブルク』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
またしても詐欺サイトはカナダの『トロント市庁舎』付近に では引き続き本文。 三菱UFJダイレクトをご利用のみなさまへ
2023年7月28日
――――――――――――――――――――――――― 毎月支払っている、電気・ガス・水道といった固定費。
「口座引落しにしているから、正確な金額を把握していない・・・」
「節約しようとは思っているけれど、先月との比較を意識できていない・・・」 ▼ご請求明細のご確認はこちら そんなあなたにおススメ!
【お金管理サポートアプリ Mable(メイブル)】をご存じですか? Mableは、お使いの様々なキャッシュレス手段で支払った明細や、引落し口座の残高を、自動でまとめて見える化してくれるアプリです。 お使いの金融機関・金融サービスを連携するだけで、支出を自動分類。
「食費」「交通費」などに加えて、「電気」「ガス」「水道」など固定費についても、毎月の支払金額や増減が簡単に確認できます。 Mableは全てのサービスを無料(*)でご利用いただけます!
ぜひダウンロードしてみてください。 ▼Mableのダウンロードはこちら
https://count.bk.mufg.jp/c/Ccl0l52a13057qH4b1dee5bIid0l56b1i5xlm
※外部サイトに移動します | このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
1か所は『▼ご請求明細のご確認はこちら』って書かれたところに、もう一か所は下から2行目に
直書きされていて、こちらは三菱UFJ銀行の公式アプリ『Mable』のダウンロードページに
つながりますが、前者は詐欺サイトへつながるように仕組まれています。
そのリンクは、本文内に直書きさられていて、リンク先のNorton『Safe Web』での危険度評価が
こちらです。
 『疑わしい』『スパム』と書かれており注意喚起がなされています。 このURLで使われているドメインは、サブドメインを含め”bk-mufg.h2opark.com”
このドメインにまつわる情報を取得してみます。
 このドメインは、中国で管理されていますね。
そして割当てているIPアドレスは”172.67.144.46”
再びこのIPアドレスを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。
 最近この地図毎日見ているような気がします…
ピンが立てられたのは、カナダの『トロント市庁舎』付近。
どうやらこの付近は詐欺サイトの集中地域に変貌した模様です。
そしてこのサイト運営に利用されているホストは『Cloudflare』 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
 公式サイトで確認してきましたが、本物そっくりのログインページが開きました。
ここを入力してログインボタンを押してしまうと、それら情報が詐欺師に流れてしまい
口座を操作されて詐欺に遭うことになります。
まとめ アプリ紹介のメールに紛れ込んだ詐欺サイトへのリンク。
果たしてどれくらいの方が騙されるのでしょうか?… 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 