『詐欺メール』「·【DCカード】ご利用確認のお願い」と、来た件

「DCカード」と名乗っておきながら内容は「三菱UFJニコス銀行」

いつもの年なら梅雨真っただ中の7月初旬なのですが、既に遠の昔に梅雨は明け外はピーカン猛暑。
これじゃ今年の夏が思いやられます。(;^_^A

さて、今回の詐欺メールはこちら。
「DCカード」と名乗っておきながら内容は「三菱UFJニコス銀行」の第三者不正利用の通知。
暑さのせいか、なんか最近おバカな間違いのフィッシング詐欺メールが多いような気がする…

書かれているのは例のテンプレ利用の内容。
では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] ·【DCカード】ご利用確認のお願い」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
先頭の「・」は何の意味が有るのか？まさか箇条書きにしようと思ったとか？(笑)

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”顧客サービス ” <muig-card-customer9@asqmxir.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

出ました中国ドメイン…
あり得んわ…
こんなの誰が信じるものか！
だいたい「三菱UFJニコス銀行」さんには、”mufg.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

ドメインの持ち主は中国の方？

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、”asqmxir.cn”について情報を取得してみます。

もう今回から、ドメイン申請に登録したメールアドレスのドメイン晒します。
申請者の氏名”Registrant”は私には読めない文字を含む漢字三文字の氏名の方。
ドメインが中国なんでこの方もその国の方でしょう。

そして”202.61.135.46”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと同じですから一応メールアドレスの偽装はありませんでした。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”202.61.135.46”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

なんとピンが立てられたのは、「東京都千代田区」付近です。
利用プロバイダーは中華系の「CTG Server」
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

署名の電話番号は「三菱UFJニコス銀行」のものではなかった！

では引き続き本文。

まあ、本文はテンプレの貼付けで第三者不正利用があったからリンクから利用確認を促すもの。
見て分かるように「ＵＦＪ」と書かれたアルファベットは、すべて全角。
これ、フィッシング詐欺メールの「あるある」

ふと署名部分の電話番号が気になって「0120-544-555」と「042-311-7000」をそれぞれ調べると。
まずフリーダイアルの方が…

「架空請求の電話番号」に使われている模様。

そして「042-311-7000」は…

「偽の詐欺の三菱UFJ銀行 インターネットバンキングヘルプデスク」だってさ…(笑)

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ご利用確認はこちら」って書かれたボタンに張られていて、リンク先の
URLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”hfgdc.qwbbkcj.cn”
これまた中国ドメイン…(;^_^A
このドメインにまつわる情報を取得してみます。

こちらもこれまたメールドレスのドメインと同じ持ち主…(笑)

このドメインを割当てているIPアドレスは”155.94.151.70”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

表示されたのは「三菱UFJニコスMUFGカード」会員専用サイト「NEWS+PLUS」
もちろん偽サイトですから絶対にログインしないでください！

まとめ

メールアドレスとリンク先のサイトのURLに使われているドメインは共に中国のトップレベルドメイン。
これじゃ騙されたいと思っても無理(笑)
でも、中にはしっかりと偽装されているものも多くあるので要注意！

そして恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;