『詐欺メール』『緊急!FamiPay 重要なお知らせ』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
レスポンシブルを謳っていたブログテーマを利用していましたが
実際にスマホやタブレットで見ると全然レスポンシブルではなく
文字が画面からはみ出してとても見ずらい状態となっていいるのに気づき
昨日原因を突き止めるべくアレコレ試行錯誤。
結局、体裁を整えるために使っていた表が悪さしていたようで
表を使わないようにしたらあっさりときれいに見えるようになりました。
体裁を考えて使っていた表が逆に体裁を悪くしていたとはなんともはや…
そんな前置きはさておき、今回ご紹介するのは、昨日から急増中の『ファミペイ』に成り済ます不審なメールのご紹介となります。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
件名:[spam] <緊急!FamiPay 重要なお知らせ>
送信者:"ファミマTカードメール" <family.lmxblngw@service.xntkd.cn>
この度は ファミペイ をご利用頂きまして誠にありがとうございます。
以下のご注文内容がご利用店舗まで届いております。
※本メールは、お客様のご注文情報を受けた時点で送信される自動配信メールです。
店舗から、 ご注文内容の確認後、ご連絡いたします。
——————————————
支払金額:5,830円(税込)
▶ 注文確認
——————————————
■STEP1 注文受付
↑ただ今こちら
■STEP2 注文受付完了
■STEP3 受渡完了
※ご注文された店舗の受取り時間を参照のうえご連絡ください。
※当メールは送信専用メールアドレスから配信されています。
Copyright © Famima Digital One Co., Ltd. All rights reserved.
このメールは、ファミリーマートが発行するクレジット機能付きポイントカードの利用を通知を装い、受信者を偽サイトに誘い込んでそのクレジットカードの情報を盗み出そうとするものです。
なんか、ただの注文確認メールなのに『緊急』だとか『重要なお知らせ』などと仰々しい言葉が使われていることに違和感を感じます。
ではこのメールも詳しく調査していくことにいたしましょうか。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『service.xntkd.cn』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
末尾に書かれている『.cn』は中国に与えられた国別ドメインです。
当然自社の公式ドメインを持っているファミマが、わざわざ中国のドメインを使ったメールアドレスでユーザーに対してこのような利用通知を送信するでしょうか?
因みにファミペイが利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると
『@family.co.jp』と書かれています。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。
Received: from service.xntkd.cn (service.xntkd.cn [23.95.189.84])
ここに書かれているIPアドレスとドメイン『service.xntkd.cn』を割当てているIPアドレスと比較してみましょう。
このドメインに関する詳しい情報を『Grupo』さんで取得してみます。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。
そしてこのドメインの持ち主は、不審なメール調査で頻繁に見かける中国の方です。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、ニューヨークのバッファロー付近であることが分かりました。
それにこのIPアドレスは、既に危険なものとしてブラックリスト入りしていて、そのカテゴリは『サイバーアタックの攻撃元』として登録されています。
宛名を確認
通常大切なメールの冒頭には『○□△ 様』と言ったように『宛名』が書かれています。
でもこのメールにはその宛名が存在しません。
そりゃそうですよね、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがありません。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのですから。
リンク先のドメインを確認
さて、本文の複数個所に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://family-eventule.kmolw.cn/services/logmant/】
(直リンク防止のため一部の文字を変更してあります)
これまた中国のドメインが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。
またしてもこの方のドメインですね。
一体この方いくつドメインを所持しているのでしょうか?
維持費だけでも相当費用がかかると思うのですが、詐欺メールってそんなに儲かるのでしょうかね?
このIPアドレスからそのロケーション地域を調べると、カナダのトロント市庁舎付近であることが分かりました。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
本物そっくりなファミマ会員専用のログインページですね。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;