『詐欺メール』JCBから『【特別ご案内】1,250ポイントと年会費無料の特典を今すぐ受け取る！』と、来た件

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1,250ポイントと年会費無料の特典に騙されるな！

いつもご覧くださりありがとうございます！

また今度はJCBに成りすましてデマキャンペーン便乗詐欺メールが送られてきました。
今回は1,250ポイントと少し控えめですね(笑)

件名：[spam] 【特別ご案内】1,250ポイントと年会費無料の特典を今すぐ受け取る！
送信者： “JCBカード” <uc-crad@acicuhe.com>○□△様いつもJCBカードをご利用いただき、誠にありがとうございます。

おめでとうございます！
2024年のご利用に基づき、あなたは特別なキャンペーンにご参加いただき、最大1,250 Oki Dokiポイント（1ポイント＝1円相当）と次年度年会費無料の特典を受け取る資格があります。

この特典は、すでにご利用いただいた消費状況に基づいて進呈されます。
年末のショッピングや旅行をもっとお得に楽しむために、今すぐ手続きをして特典をお受け取りください！

━━━━━━━━━━━━━━━━━━━━━━━━━━━
【キャンペーン参加方法】
▼ 今すぐ手続きを！特典をゲット
h**ps://jcb-card.bovalin.com/?points=zpawH5NFBtDZ7b1FAttubIb0

■ キャンペーン期間
2024年12月20日 – 12月31日
※期間内に手続きが完了しないと、特典は無効となります。

■ 特典内容
– 最大1,250 Oki Dokiポイント（1ポイント = 1円相当）
– 次年度年会費無料

■ 注意事項
– ポイントは2025年1月20日以降に進呈予定です。
– 主会員カードと家族カードの消費金額は合算され、ポイントは主会員に進呈されます。
– 詳細は公式サイトでご確認ください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━
【今すぐ手続きをして、年末の特典をお得に受け取ろう！】
━━━━━━━━━━━━━━━━━━━━━━━━━━━
この年末の特典を逃さず、早めにお手続きを完了して、ポイントと次年度年会費無料の特典を確実に受け取ってください！

引き続き、JCBカードをご愛顧賜りますようお願い申し上げます。

────────────────────────────────
株式会社ジェーシービー
東京都港区南青山五之一二二
JCB Co. Ltd. 2024

JCBではこのようなキャンペーンは現在実施されていませんのでお間違いなく。
それにこの差出人のメールアドレスは『uc-crad@acicuhe.com』
@より前のアカウント名と＠より後ろのドメイン名に分けて見ていくと、まずアカウント名はJCBを名乗っているのに『uc-crad』ってUCカードじゃんか…
どうしてJCBのメールアカウントがUCカードなの？
それにドメイン名の『acicuhe.com』も、JCBが利用するドメインじゃありません。
JCBのオフィシャルサイト内にある『会員向け情報』ではJCBからお送りする主なメールアドレスのドメインとして『jcb.co.jp』と記載されています。
故にこのドメイン以外のメールアドレスで届いたJCBからのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from acicuhe.com (ecs-119-8-26-86.compute.hwclouds-dns.com [119.8.26.86])

ひとまずドメイン”acicuhe.com”を割当てているIPアドレスとReceivedフィールドの末尾にあるIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得した””を割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる”acicuhe.com”を使ったメールアドレスは偽装であることが断定できます。

Receivedフィールドに記載されている”hwclouds-dns.com”と言うドメイン、最近ちょいちょい見かけるのですが、これは中国のHuawei Cloudが提供するDNSで、Huawei Cloudは2024年7月30日をもってこのドメインの使用を終了しているのでこれも嘘っぽいです。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、香港の『九龍地区(Kowloon)』付近であることが分かりました。

詐欺サイトはカナダで無防備に放置中

さて、本文に直書きされた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://jcb-card.bovalin.com/?points=zpawH5NFBtDZ7b1FAttubIb0】
(直リンク防止のため一部の文字を変更してあります)
これまたJCBのドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、カナダの『トロント市庁舎』付近であることが分かりました。

リンクを辿ってみると、このようなサイトがどこからもブロックされることなく無防備に放置されていました。

このようなサイトが放置されているってとても危険です！

当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;