『詐欺メール』『ご確認:VIEW’s NETお引落日です』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
今回は、『ビューカード』に成り済ます不審なメールのご紹介となります。
不審なメールで多くあるのが今回のようなカード会社に扮した引き落とし日の連絡。
利用明細の確認としてリンクを付け、偽サイトに誘導してログインアカウントとクレジットカードの情報を盗み出そうとするものです。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] ご確認:VIEW’s NETお引落日です
送信者:株式会社ビューカード <views_net-j81y@kita9.ed.jp>
VIEW’s NET
《ビューカード会員の皆さまへ》
いつも「VIEW’s NET」をご利用いただき、誠にありがとうございます。
――――――――――――――――
▼今月のお引落日は28日(金)です。
――――――――――――――――
お引落日の前営業日(3月9日)までに、ご登録のお引落口座への残高のご準備をお願いいたします。
※金融機関休業日の場合は、翌営業日のお引落となります。
※金融機関休業日の場合は、その前営業日までにご登録口座への残高のご準備をお願いいたします。
▽ご請求金額とご利用明細の確認方法
VIEW’s NETログイン
※2020年12月11日以降にインターネットからお申込みのお客さまは、「会員専用WEBサービス」でのご確認となります。郵送をご希望の方は「会員専用WEBサービス」より変更のお続きをお願いいたします。
↑↑↑↑↑↑
本文ここまで
このメールを受信したのが2月28日(金)の17時01分。
でもってここに書かれているのは『今月のお引落日は28日(金)』で今日の今日。
こんなの残高不足だったらどうするつもりなのでしょう。
因みに本物のビューカードで引き落とし日を確認してみると、このように書かれています『ビューカードの引き落とし日は、毎月5日の締め日の翌月4日です』
全然違うじゃないですか!
ってこのようなメールにケチ付けても仕方ありませんがね…(笑)
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『kita9.ed.jp』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
このドメインの持ち主を調べてみると『北九州市立学校・園』さんのもの。
もちろんそのようなところがビューカードのメールを代筆することなんてありえないので、このメールアドレスは偽装。
因みにビューカードが利用するメールアドレスのドメインは『@viewcard.co.jp』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。
Received: from C20250228113212.local (unknown [143.92.37.145])
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、香港付近であることが分かりました。
リンク先のドメインを確認
さて、本文の『VIEW’s NETログイン』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
さて、本文に『』の公式ドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://ccc.dddkrolc.sbs/default.aspx/】
(直リンク防止のため一部の文字を変更してあります)
これまたビューカードのドメインとは異なるものが利用されていますね。
先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。
割当てているIPアドレスは『185.242.234.79』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、先程とは異なるものの再び香港付近であることが分かりました。
リンクに接続してみましたが、開いたのは『404 Error: Page not found』とだけ書かれた真っ白なページ。
なんかこのパターン最近多いですね。
恐らくこのサイトを設置したレンタルサーバーがその危険を察知して削除したものかと思います。
でももしかしたら、最初から騙すつもりの愉快犯による単なる迷惑メールなのかもしれませんが…
まとめ
ビューカードが、自社のものではないドメインを使ったメールアドレスで、遠く香港からユーザーにメールを送り
香港に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいですもんね!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;