『詐欺メール』「【三井住友カード】カードの一時利用停止は解除されました」と、来た件

差出人のメールアドレスに注意を払え！

まだ6月だと言うのに梅雨前線は大陸にあり連日30℃声の真夏日で完全な梅雨明けモードの名古屋地方。
そんな蒸し暑い中、週明け月曜はこのようなメールで幕開けです。

珍しく愛用のメールアプリThunderbirdからも赤く警告されているこのメールは、三井住友カードに
成りすましたフィッシング詐欺メールです。
本文は、判で押したように定型文を使った第三者不正利用を疑ったもの。

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 2022-06-26【三井住友カード】カードの一時利用停止は解除されました 3623711」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
件名に日付スタンプ付けてきちゃいましたね。(笑)
末尾の数字は、このメールに信憑性を持たせようしたもので連番ではなく当然でたらめな
単なる数字の羅列。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「SMBC <info@smuki-jp.com>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

「SMBC」を名乗っていますが、「SMBC」さんには、”smbc.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

発信サーバーは「東京都千代田区」付近にあり！

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、利用されているドメイン”smuki-jp.com”について情報を取得してみます。

「Registrant Name: Xserver Xserver Inc.」とあるので、登録者は、レンタルサーバーの「Xserver」で
「Registrar: Netowl, Inc.」とあるので依頼したレジストラは「ネットオウル」です。
簡単に言えば、Xserverのユーザーがネットオウルに依頼してドメインを取得したということでしょうか。

”203.83.244.209”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと同じですから使われているメールアドレスに偽装はありません。

この中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”203.83.244.209”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、「東京都千代田区」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

”.xyz”ドメインに要注意！

では引き続き本文。

これはメール本文から必要な部分だけ抜粋したものです。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ご利用確認はこちら」って書かれたところに張られていて、リンク先の
URLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”www.smuibc-info.xyz”
”.xyz”なんてとても怪しげなドメインです。
このドメインは、格安で取得できるためサイバー犯罪に多く使われことで有名なもの。
このドメインにまつわる情報を取得してみます。

申請者は、アメリカアリゾナ州フェニックスにある「See PrivacyGuardian」と言うホスティング企業。

このドメインを割当てているIPアドレスは”172.86.124.37”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！

安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

開いたのは、「SMBC三井住友カード」のユーザー専用サイト「Vpass」へのログイン画面。
もちろん偽サイトですから絶対にログインしないでください！
本家サイトを丸ごとダウンロードして複製されているので、注意喚起へのリンクまでしっかり
コピーされていますね。

おまけ

メール本文をコピーしてて気づいたのですが、本文中に白文字で隠し文字がありました。
これは、メールの本文をHTMLからTEXT表示に切換えたもの。
白字で書かれていた隠し文字があぶり出しのように浮き上がってきました。

隠し文字は恐らく中国語。
一応、何が書かれているかGoogle先生にお願いして訳してみましたが意味不明です。
それもそのはず、これらは「ワードサラダ」と呼ばれるものです。
うちのサイトでも詳しく説明していますので、ご興味がありましたら下にリンクを付けておきますので
そちらをご覧ください。

『詐欺メールに付き物』「ワードサラダ」とは？

ワードサラダは悪意のある証拠 ワードサラダは、フィッシング詐欺メールでよく使われる手法です。 上のメールを見てください。 これはメールの本文をHTML形式からTEXT形式に表示を切り替えたもの。 イエローでマーキング文字列は、HTML形式の...

ymg.nagoya

まとめ

今回のメールは、メールアドレスが差出人のものと全く異なるので少し気を付けていれば
簡単に見破ることができましたね。
でも、気を付けてないと、本文の内容で焦ってしまいリンクに飛びついてしまう方も
多いかもしれませんので要注意です。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;