『詐欺メール』『3Dセキュア設定についてご確認ください』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
今回は、『イオンフィナンシャルサービス』に成り済ます不審なメールのご紹介となります。
なんでも私のイオンカードが利用制限されたようです。
私、イオンカードなんて持ってないのにね!(笑)
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
件名:[spam] <3Dセキュア設定についてご確認ください>
送信者:"「イオンフィナンシャルサービス株式会社」" <Aeon1Dd854Mp@costcojapan.jp>
AEON
CARD
重要なセキュリティ通知
拝啓 イオンカード会員様
平素よりイオンカードをご利用いただき、誠にありがとうございます。
このたび、お客様のアカウントにおいて、通常とは異なる利用パターンが検出されました。お客様の資産を保護するため、一時的にカードの利用を制限させていただいております。
重要: セキュリティ確認手続きが完了するまで、カードのご利用が制限されます。お客様の安全を第一に考えての措置ですので、ご理解とご協力をお願いいたします。
以下の手順に従って、アカウントの確認を行ってください:
- 下記の「セキュリティ確認」ボタンをクリックし、専用ページにアクセスしてください。
- ログイン情報を入力し、本人確認を行います。
- 最近の取引履歴を確認し、不審な取引がないかご確認ください。
- セキュリティ質問に回答し、本人確認を完了させてください。
セキュリティ確認
なお、本メールに心当たりがない場合や、ご不明な点がございましたら、直ちにイオンカードコールセンター(0570-064-750)までご連絡ください。
お客様の安全とプライバシーを最優先に考え、今後もサービスの向上に努めてまいります。ご不便をおかけいたしますが、何卒ご理解とご協力を賜りますようお願い申し上げます。
本メールは送信専用アドレスからお送りしています。ご返信いただいてもお答えできませんので、あらかじめご了承ください。
カード発行元:株式会社イオン銀行
業務受託会社:イオンフィナンシャルサービス株式会社
通常とは異なる利用パターンが検出されたので、一時的にカードの利用を制限したと書かれています。
解除したいならリンクから本人確認するように促しています。
って、件名にある『3Dセキュア設定』に関する内容なんてどこにも書かれてないじゃん…(;^_^A
では、詳しく見ていくことにいたしましょう。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『costcojapan.jp』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
もうお気付きですよね、このドメインはあの会員制倉庫型店を展開するコストコさんのものです。
もちろんそんなコストコさんがイオンカードのメールを代筆するはずもないので偽装されています。
因みにイオンカードが利用するメールアドレスのドメインは『@aeon.co.jp』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。
Received: from C20250225231001.local (unknown [14.128.48.73])
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、香港付近であることが分かりました。
宛名を確認
このメールの冒頭には『イオンカード会員様』と『宛名』が書かれています。
でも本当にイオンカードからならユーザーの氏名を知っているので、ここには氏名が書かれるはず。
それなのになぜこのような抽象的な宛名にしているのでしょう。
そりゃそうですよね、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがありません。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのですから。
リンク先のドメインを確認
さて、本文の『セキュリティ確認』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
さて、本文に『』の公式ドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://amazon.ruzhoubbs.com/support】
(直リンク防止のため一部の文字を変更してあります)
あらら、イオンのドメインじゃなくてAmazonっぽいドメインですね。
もしかしてこの送信者、Amazonを騙る詐欺メールにも加担してたりしませんよね?
『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。
次にこのドメインに関する詳しい情報を『Whois』さんで取得してみます。
この情報が正しければ、このドメインの取得者の所在地は日本ですが『shen hu shi』ってどこの市でしょうね?
割当てているIPアドレスは『206.238.68.56』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、シンガポール付近であることが分かりました。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むとこのようなページが開きました。
『ERR_CONNECTION_REFUSED』は、サーバーに接続を拒否されたことを表しています。
恐らくこのサイトを設置したレンタルサーバーがその危険を察知して接続を遮断したものかと思います。
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;