『詐欺メール』「【重要なお知らせ】SAlS0Nカード ご利用確認のお願い」と、来た件

件名にいたずら心か？

最近このセゾンカードに成りすますフィッシング詐欺メールも結構多く見られます。
先日もこのようなブログエントリーを書いたのが記憶に新しいところ。

『詐欺メール』「【SAlSO】から重要なお知らせ」と、来た件

ログインはスマホアプリから！ ※ご注意ください！ このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし 悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。 このようなメールを受け取っても絶対に本文中...

ymg.nagoya

この時は件名にいたずら心があって「SAISON(セゾン)」のスペルが「SAISO」になっていて
おまけに最初の”S”が環境依存文字で、本来”I(アイ)”であるはずが”l(エル)”になっていました。

そして今回のメールがこちら。

件名の「SAlS0N」って文字がもう見るからにおかしいでしょ？(笑)
”I”は以前と同じように”アイ”ではなくて小文字の”エル”にされていて

更に”O”(オー)が”0”(ゼロ)になっています。

いたずら心と言うか、何かバレるかどうか挑戦してきている気がするのですが。
そのくせ本文の日本語がなっちゃいないんですよね～(笑)

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【重要なお知らせ】SAlS0Nカード ご利用確認のお願い」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
本当のセゾンカードさんがこの件名見たらどう思うんでしょうね？
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「【SAlS0N】 <SAlSO-info3@g4hkkb2.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
おまけにメールアドレスのアカウント部分が”SAISON”じゃなくて”SAlSO”って一文字足らないし…

「セゾンカード」さんには、”saisoncard.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめな中国のドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
その辺りを含め、次の項で見ていくことにしましょう。

中華系プロバイダー「CTG Server Ltd」を利用

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、”g4hkkb2.cn”について情報を取得してみます。

申請は、私には読めない文字を含む漢字3文字の氏名の方が行っており、中国のIT企業アリババがその
申請を代行しています。
”202.61.135.229”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスも”202.61.135.229”ですからメールアドレスの偽装はありませんでした。

この中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、「東京都千代田区」付近で、利用しているプロバイダーは「CTG Server Ltd」
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺メールのお得意「第三者不正利用」をネタに

では引き続き本文。

詐欺メールのお得意「第三者不正利用」をネタにしたもの。
なんか日本語の使い方がぎこちないでしょ？
中途半端に切れてるくだりがあったりするし…

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「お手続きはこちら」って書かれたところ青いボタンに張られていて、リンク先の
URLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「詐欺サイト」と書かれています。

このURLで使われているドメインは、サブドメインを含め”ghfds.jbthluj.cn”
このドメインにまつわる情報を取得してみます。

申請者の氏名もメールアドレスも差出人で調査したのと全く同じ。

このドメインを割当てているIPアドレスは”204.44.71.20”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

開いたのは、セゾンカードユーザー専用のウェブサイト「Netアンサー」のログインページ。
もちろん偽サイトですから絶対にログインしないでください！

まとめ

明らかに件名に遊び心を持っていますよね。
実に不気味なフィッシング詐欺メールです。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;