異常な入金ってどうして分かるの?昨日の大雨で若干気温が下がり少しだけ秋の気配が漂う当地ですが、各地でお大雨被害が出ており 喜んでばかりはいられません。 さて、フィッシング詐欺メールの被害は相変わらず多いようで、今朝も複数新着が届いております。 そんな中から今回は、この三井住友カードを騙ったこのメールをご紹介しようと思います。  例によって第三者不正利用を騙ったテンプレで、リンクに誘い込み個人情報やクレカ情報を 盗み取ることが目的です。 では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきましょう。 件名は 「[spam] 【三井住友カード】異常振込入金のお知らせ」 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 それにしても、どうやって入金が異常かどうか判断するんでしょうね?(笑) この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「SMBCカード <smbc-card-confirm10@zxnmysz.cn>」 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 出ましたね”.cn”なんて中国ドメイン。(笑) 「三井住友カード」さんには、”smbc-card.com”って正規ドメインをお持ちです。 正規ドメインが有るのにそれ以外のこのような訳の分からないドメインを使ったメールアドレスで ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
メールアドレスに偽装は無しでは、このメールがフィッシング詐欺メールであることを立証していきましょうか! まず、このメールのヘッダーソースを確認し調査してみます。 私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「smbc-card-confirm10@zxnmysz.cn」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「202208042131351518471@zxnmysz.cn」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from zxnmysz.cn (unknown [134.122.147.223])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、メールアドレスにあったドメイン”zxnmysz.cn”について調べてみます。  ”134.122.147.223”がこのドメインを割当てているIPアドレス。 ”Received”のIPアドレスと同じなのでメールアドレスの偽装はありません。 「フィールド御三家」の中で一番重要なのは”Received” これを紐解けば差出人の素性が見えてきます。 ”Received”のIPアドレス”134.122.147.223”は、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその割り当て地を確認してみます。  IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、「東京都千代田区」付近です。 このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
リンク先は既に危険サイトと認識されているでは引き続き本文。 【三井住友カード会員サービス】利用いただき、ありがとうございます。 このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、 誠に勝手ながら、サービスのご利用を一部制限させていただき、お客様のアカウントのに登録された 電話番号にご連絡いたしましたが、お客様に連絡を取ることができませんでした.ご連絡させていただきました。 ご回答をいただけない場合、サービスのご利用制限が継続されることもございますので、予めご了承下さい。 →ご利用確認はこちら |
例の金融機関名だけ変えればいくらでも転用できる「連絡三段活用テンプレ」ですね。 このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。 そのリンクは「→ご利用確認はこちら」って書かれたところに張られていて、リンク先の URLがこちらです。  このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。  このように既に危険サイトと認識されており、ブラックリストに登録済み。 そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”sghj.evs067o.cn” このドメインにまつわる情報を取得してみます。  申請者は、差出人の、メールアドレスにあったドメインと同じ方。 このドメインを割当てているIPアドレスは”104.129.8.119” このIPアドレスを元にその割り当て地を確認してみます。  ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。 フィッシング詐欺サイトは、この付近に密集しています! この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。 安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 開いたのは三井住友カードユーザー専用のウェブサイト「Vpass」へのログインページ。 もちろん偽サイトですから絶対にログインしないでください! 
まとめメールアドレスもウェブサイトのURL使われているドメインもどちらも中国ドメイン。 ことフィッシング詐欺メールに関しては中国の関与が多くなっているのは明白ですね。 何か組織的なグループが有るのでしょうね。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |