アカウントの更新ができないって?!
ほんと、次から次へと作りますね。
今度は「新生銀行」に成りすましたフィッシング詐欺メールです。
書かれているのは、アカウントの更新ができないのでリンクからアカウント情報に誤りがないか
確認するように促すメールです。
では、このメールもプロパティーから見ていきましょう。
件名は
「[spam] ※至急ご確認ください【利用情報の変更】」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「"Shinsei Bank" <ShinseiRetailAlert@shinseibank.com>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
上手く化けているつもりでしょうけど…
”shinseibank.com”は確かに「新生銀行」のドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
早速偽装バレ
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「sinseiretaialert@jshinselbank.top」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
あれあれ?この方のメールアドレスのドメインは”shinseibank.com”でしたよね?
でもここには”jshinselbank.top”と記載されています。
本来なら同じドメインであるはずなのに…(笑)
|
| Message-ID:「20220709200742206133@jshinselbank.top」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここもドメインは”jshinselbank.top”と記載されています。
ま、このドメインだって怪しいものですけどね。
|
| Received:「from pia.zr (unknown [43.249.207.169])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
もう完全に”ShinseiRetailAlert@shinseibank.com”ってメールアドレスは偽装。
じゃ”Return-Path”や”Message-ID”に記載のあった”jshinselbank.top”ってのは本当なのでしょうか?
では、”Message-ID”について情報を取得してみます。
”157.65.161.7”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”43.249.207.169”ですから全く異なります。
これでアドレス偽装は確定。
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”43.249.207.169”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、「香港」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
「新生銀行」が香港からね…(笑)
「shinsei(しんせい)」じゃなくて「shinsie(しんしえ)」
では引き続き本文。
| NETstationAPLUSをご利用のお客様へ :
NETstationAPLUSをご利用いただき、ありがとうございます。
アカウント情報に変更がないか、ご確認ください。
アカウントの使用制限
申し訳ございませんが、アカウントの更新はできません。
銀行カードの有効期限が切れている、請求先住所が変更になっているなど、
このような状況でサービスを継続できない理由はいくつかあります。
お客様のアカウント情報の一部に誤りがあるため、アカウント維持のために
お客様のアカウント情報を確認する必要があります。
アカウントにログインし、情報を更新してください。
ログイン認証 |
「NETstationAPLUS」はアプラスカード会員専用のウェブサイト。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ログイン認証」って書かれたところに張られていて、リンク先の
URLがこちらです。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
うそうそ、安全だなんてだめです!
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。
このURLで使われているドメインは、サブドメインを含め”www.sinsiebauk.com.shinsie.jp”
いつの間にか「shinsei(しんせい)」じゃなくて「shinsie(しんしえ)」になってしまいました(笑)
このドメインにまつわる情報を取得してみます。
申請者は、GMOグループのムームードメイン。
詐欺サイト管理者はここに依頼してドメインを取得したようです。
このドメインを割当てているIPアドレスは”185.216.231.37”
このIPアドレスを元にその割り当て地を確認してみます。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス付近。
フィッシング詐欺サイトは、この付近に密集しています!
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
安全だと言われても詐欺サイト、用心しながらリンク先の詐欺サイトに調査目的で訪れてみました。
現在はアクセスできないようです。
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。
まとめ
三菱UFJに三井住友、そして新生銀行と、クレカや銀行の数だけフィッシング詐欺メールがあると言っても
過言ではないかもしれません。
次から次へと新しいものが送られてくるので要注意です!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |