『詐欺メール』から『』と、来た件
★詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
クレジットカード会社を騙る怪しく危険なメールでありがちな第三者により不正使用をネタにしたメール。
今回は「三井住友カード」の名を騙って送られてきました。
では、詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 三井住友カードからのお知らせ
送信者:三井住友カード <admin@missyioshi.jp>
いつも三井住友カードをご利用いただきありがとうございます。
このたび、三井住友カードの不正検知システムにおいて、
お客様がお持ちの三井住友カードが第三者により不正使用された可能性を
検知しましたので、ご連絡を差し上げました。
つきましては、お客様に対応いただきたい事項があります。
お客様ごとに対応方法が異なりますので、次の対応手順をご確認ください。
【対応手順】
通知が届いているお客様
通知内容をご確認のうえ、三井住友カードの回答専用ページよりご回答をお願いします。
※h**ps://kiddlee.com/0WyZXbL17w
<通知について>
通知は、カード会社にご登録の携帯電話番号(SMS)またはEメールアドレスにお送りしています。不正検知の内容により通知方法が異なりますので、あらかじめご了
承ください。
※本通知の順番は前後する場合がございます。
なお、ご契約いただいているカードについては、第三者による不正使用の
可能性がありますので、カードのご利用を一時的に停止させていただいている、
もしくは今後停止させていただく場合があります。
ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。
また、本メールとあわせて、弊社へご登録いただいているご連絡先に、
カードのご利用状況を確認するためのお電話を差しあげることもございます。
あわせてご理解賜りたくお願い申しあげます。
本メールに掲載されているすべての記事、文章等の無断転載を禁止します。
※本メールに直接返信されましても対応できません。
===================================
■ 発行者
三井住友カード株式会社
〒100-6150 東京都千代田区永田町2丁目11番1号 山王パークタワー
↑↑↑↑↑↑
本文ここまで
これは高確率で成りすましのフィッシング詐欺メールです。
では、フィッシングと判断できる理由を説明してまいります。
まず真っ先に気になったのは送信元メールアドレス。
記載されているのは「admin@missyioshi.jp」ですが、三井住友カードの正規ドメインは「@smbc-card.com」や「@vpass.ne.jp」などで、完全に無関係なドメインです。
次に宛名。
正規の重要通知であれば、氏名の記載があることがほとんどです。
それなのにこのメールには個人名の宛名がありません。
これは送信者が私の氏名を知らない表れです。
典型的な不安を煽る文面。
「不正使用の可能性」「ご利用を停止」「至急対応してください」という言葉は、フィッシングで非常によく使われる手口です。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from missyioshi.jp (unknown [35.187.209.124])
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、東京都杉並区付近です。
最近この辺りは、怪しいメール発信地のトレンドの1つです。
リンク先のドメインを確認
さて、本文に直書きされた詐欺サイトへのリンクですが、実際に接続されるサイトのURLは以下の通りです。
【h**ps://avandfx.com/loginmem/index/】
(直リンク防止のため一部の文字を変更してあります)
ご覧の通り三井住友カードのドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません!
このドメインに関する詳しい情報を「Grupo」さんで取得してみます。
割当てているIPアドレスは「172.67.214.105」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むと開いたのは英語でタイムアウトしたことが書かれた真っ白なエラーページ。
恐らくこのサイトを設置したレンタルサーバーがその危険を察知して削除したものかと思いますが、ウイルスバスターにブロックされたことが、ここには以前危険なサイトが存在していたことを物語っていますね。
まとめ
メールの文面や送信者のメールアドレスとリンク先のドメインが「三井住友カード」のものと異なるのでこのメールを詐欺メールと判定いたしました。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;