『詐欺メール』「【イオンカード】カード年会費のお支払い方法に問題があります」と、来た件

もう覚えてしまい暗記してしまった本文

例のテンプレが使われイオンカードを騙るフィッシング詐欺メールが到着。

もう嫌と言うほど見てきたこの第三者不正利用を疑うメール。

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【イオンカード】カード年会費のお支払い方法に問題があります」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「イオンクレジットサービス株式会社 <>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

あれ？
差出人のメールアドレスがありませんね。
これじゃどのようなメールアドレスから送られてきたのか全然分かりませんよね？
その辺りを含め、次の項で見ていくことにしましょう。

”Return-Path”のメールアドレスはウソ

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、”yswauof.cn”について情報を取得してみます。

このドメインを割り当てているIPアドレスは”106.75.146.174”
でも本来同じでなければならない”Received”のIPアドレスは”171.9.33.26”と全然違ってます。
ということは、”yswauof.cn”はウソ。

”Received”のIPアドレス”106.75.146.174”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ルックアップされたロケーションは、「上海市」付近です。
使われたプロバイダーは「Shanghai UCloud Information Technology Company Limited」
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンク偽装されていた

では引き続き本文。

マジで見飽きて反吐が出そうです…(汗)
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ご利用確認はこちら」って書かれたところに張られていて、リンク先の
URLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”sign-in-info-cabonsenclopeontgevice.dadzx.shop”
このドメインにまつわる情報を取得してみます。

申請者は、中国のクラウドサービス「阿里雲（Aliyun）」

このドメインを割当てているIPアドレスは”204.44.99.132”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

開いたのは、AEON CARDのユーザー専用インターネットサイト。
でももちろん偽サイトですから絶対にログインしないでください！

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;