『詐欺メール』「【Famima T card】ご利用確認のお愿いいつも弊社のカードをご利用いただきありがとうございます。」と、来た件

heart

3年前

天安門広場とロサンゼルスが溜まり場

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

ファミマTカードを騙る不届き物現る！

まぁよくこれだけ思いつくものですね。
今度は「ファミマTカード」に食いつきました(;^_^A

やってることはどれも同じなんですけどね。
今回も第三者不正利用の疑いがあるからリンクから利用確認を行えと言う内容です。
では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【Famima T card】ご利用確認のお愿いいつも弊社の
カードをご利用いただきありがとうございます。」
すいません、たぶん「お願い」と読むんじゃないかな？と思うのですが…

合っていますかね？(笑)　恐らく中国の漢字なんでしょうね…(汗)
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人
「”pocketcard” <admin@pocketcard.co.jp>」
いつものくだりで申し訳ないのですが、件名に”[spam]”とスタンプされているのなんて
ファミマTカードの正規ドメイン使われても今更なんです。。。(;^ω^)

化けの皮はあっという間に剥がれた！

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<noreply@ae2ao1.shop>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
ほら、もう化けの皮剥がれちゃった(笑)
どこが”pocketcard.co.jp”すか？　”ae2ao1.shop”があなたのドメインじゃないの？

Message-ID:「<20220319075928417764@ae2ao1.shop>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from ae2ao1.shop (ae2ao1.shop [106.75.119.231])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

じゃ、”pocketcard.co.jp”を割り当てているIPアドレスと確認し、”Received”にある
IPアドレスと比較してその真偽を確かめてみようじゃありませんか。
これは”pocketcard.co.jp”の情報です。

割当てているIPアドレスは”59.106.116.55”で本来なら”Received”の”106.75.119.231”と同じで
あるはずですが、全く異なるものが書かれていますので、やっぱりこの差出人はアドレスを偽装
していますね。

では、この”Received”にあったIPアドレス”106.75.119.231”を使ってそのサーバーの情報を
拾ってみます。

このIPアドレスは、現在北京市の天安門広場の東側辺りで使われているようです。
なので、このメールは天安門広場に程近い場所に置かれたメールサーバーが発信元と
言うことです。
それにしてもこの天安も広場の東側って地図ほぼ毎日見ている気がしますが、ここらに
詐欺用のメールサーバーが集中して設置されているのか、それとも全部同一犯なのでしょうか？

「24時間365日体制wen」の”wen”って、こぶ？(笑)

では、続いてこのメールの本文に目を移してみます。

【Famima T card】ご利用確認のお愿いいつも弊社のカードをご利用いただき
ありがとうございます。昨今の第三者による不正利用の急増に伴い、当社では「不正利用監視システム」を導入し、
24時間365日体制wenでカードの使用を監視しています。

この度、ご本人が使用しているか確認したい取引がありましたので、勝手ながら一部カード
の使用を制限させていただきますのでご連絡させていただきます。

また、以下のアクセスとカードの使用確認にご協力ください。ご回答を得られない場合は、
カードの使用制限が継続されることもございますので、予めご了承ください。

⇒■ご利用確認はこちら

適当に改行を入れさせていただきました。

この文章でおかしな箇所が3箇所。

まず1か所目は
「ご利用確認のお愿いいつも弊社のカードをご利用いただきありがとうございます。」
普通は、”ご利用確認のお愿い”で一旦区切りますよね？
息継ぎなしじゃ疲れちゃいます(;^_^A

2か所目も同じ行の中。
さっきも書きましたがって漢字。
”お願い”だと思いますが読めません…

3か所目は
「24時間365日体制wen」
”wen”ってなに？
訳すと「腫れ物」「こぶ」って出て来るんだけど。。。(笑)
ちゃんとしましょうよ！

さて、このメールの大切なお仕事は、読者にリンクを押させて詐欺サイトへ誘いこむこと。
そのリンクはこのように直書きされています。

ちゃんとファミマTカードの正規ドメインのURLで書かれていますよね。
でもこれウソなんです。
この上にカーソルを合わせてみると全然違いこちらのURLが浮かび上がりました。

本当のファミマTカードサイトのURLは”https://ftcard.pocketcard.co.jp/”です。
なんや全然違うやん。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみると。
危険なサイトだと表示されそのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”poceket.qcfargu.cn”
これもまた情報を取得してみました。

このドメインをドメインを割当てているIPアドレスは”204.13.154.144”
このIPアドレスを元にその割り当て地を確認してみます。

出てきたのは、アメリカロサンゼルス近郊の地図です。
ここも本当に詐欺サイトサーバーが多いようで、しょっちゅう出てきますよね。

この場所でどのようなサイトを開いているのか、危険を承知で安全な方法で接続してみました。
すると、表示されたのはファミマTカード会員専用サービスサイトのログイン画面。

絶対にログインしないでくださいね。
骨の髄までむしり取られてしまいますよ！

まとめ

ファミマTカードまで触手を伸ばしてみましたか。
次はどこでしょうか？(汗)
思わぬところを狙い標的にしてくるから危険ですね。
皆さんもくれぐれもお気を付けて。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)