サイトアイコン HEARTLAND

『詐欺メール』「【重要】※要返信 三井住友SMBCダイレクト ログイン方法変更のお知らせ」と、来た件

三井住友銀行を名乗るが連発
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

返信を要求する不審なメール

本当に三井住友銀行を騙るメールは多いもので、連発でのご紹介になります。
これは、深夜に届いた、三井住友銀行に成りすますフィッシング詐欺メールです。

今回はログイン方法の変更と銘打っていつもの第三者不正利用を騙るものとは
異なり、新たな切り口から攻めてきていますね。
差出人尾メールアドレスも偽装されているし、件名に[spam,]が無ければコロっと
騙されてしまいそうですね。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【重要】※要返信 三井住友SMBCダイレクト ログイン方法変更のお知らせ」
開封通知を要求するメールは多くありましたが、返信を要求する詐欺メールも初めてです。
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「三井住友銀行 <SMBC_service@dn.smbc.co.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

上手く化けたつもりしょうか?…
smbc.co.jp”は確かに「三井住友銀行」さんのドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。


用心深く何重にも偽装されていた

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「dtjy@fbgdpyeoj.net.cn」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
あれ?”smbc.co.jp”じゃなかったでしたっけ?(笑)
もうこの時点でOUTですね!

Message-ID:「F1C0C84F59CEC7B3978B8B8899B21732@fbgdpyeoj.net.cn」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from fbgdpyeoj.net.cn (v133-18-221-138.vir.kagoya.net [133.18.221.138])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
おやおや?この差出人はどうやら「カゴヤジャパン」さんのユーザーのようですよ!

ご覧いただいた通りこの差出人はメールアドレスを偽って送信しています。
これは、特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

ただ、”Return-Path”にあったドメイン”fbgdpyeoj.net.cn”も眉唾もの。
これも偽装の可能性が高いのでこのドメインについて調べてみます。

あらら、やっぱりですか!
「対応するIPアドレスがありません」って事なので、このドメインは利用することができません。
もしかしてと思い「GoDaddy」さんでこのドメインの空き状態を調べてみると…

あはは!空いてるそうです(笑)
これで”Return-Path”や”Message-ID”もアドレス偽装は確定。
もうこの方にはしっかり罪を償っていただかなければなりませんね!

「フィールド御三家」の中で一番重要なのは”Received
これを紐解けば差出人の素性が見えてきます。
Received”のIPアドレス”133.18.221.138”は、差出人が利用しているメールサーバーのもの。
少し詳しく調べてみます。

やはり、このメールを送信したメールサーバーは、大手ホスティングサービス「カゴヤジャパン」さん
のものでした。

このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、千代田区の「神田駅」付近です。
よく見ると、このIPアドレスの持つ脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」
攻撃対象は「メール」とされていますから、悪意のある物として周知されているようです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。


あれ?いつの間にか「ビットキャッシュ」になってる(笑)

では引き続き本文。

いつも三井住友SMBCダイレクトをご利用いただき、ありがとうございます。

この度、三井住友SMBCダイレクトではセキュリティ対策強化の一環として、
ログイン時の認証方法が変更となりますので、下記へアクセスし、ご確認ください。

h**s://direct.smbc.co.jp.xsyscl.com(直リンクを避けるため一部文字を変更してあります)

また、上記に伴い三井住友SMBCダイレクトに登録いただいているお客様情報の表示が
一部変更となります。併せてご確認いただくようお願いいたします。

■変更日時

2022年7月30日(土) 11:00~13:00実施の三井住友SMBCダイレクトメンテナンス以降

■メンテナンス後の変更点

【1】登録電話番号の変更
プロフィール情報に登録の電話番号と、SMS認証を行う際の電話番号はそれぞれ別の取扱と
なっていましたが、SMS認証を行っている場合は、プロフィール情報に登録の電話番号が
SMS認証をおこなった電話番号に変更されます。

【2】三井住友SMBCダイレクト会員規約改定(2022年7月30日)
三井住友SMBCダイレクトへのログイン方法変更に伴い、2022年7月30日付で
三井住友SMBCダイレクト会員規約(第3条)を改定いたしますので、ご確認くださいますよう
お願い申し上げます。

ご利用のお客様にとってより良いサービスを提供できるよう努めてまいりますので、
今後ともビットキャッシュをご愛顧いただきますようお願いいたします。

変更点などが事細かに詳しく書いてありますね。
あれ?でも最後に「今後ともビットキャッシュをご愛顧いただきますようお願いいたします」
とあります。
あらら…もしかして本文を別の詐欺メールから転用して社名を変え忘れましたか?(笑)
ビットキャッシュ株式会社は、電子マネー「BitCash」を運営する企業であり、三井住友銀行とは
つながりが有りません。

どちらにしてもこのメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、リンク先のURLがこちらです。

ここで注意しなければならないのは、このURLのドメイン部分。
このURLで使われているドメインは、三井住友銀行の正規ドメイン”smbc.co.jp”ではなくて
xsyscl.com”であることです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”direct.smbc.co.jp.xsyscl.com
このドメインにまつわる情報を取得してみます。

「Could not retrieve Whois data.」って事なので、何らかの原因で有者データを取得できなかったようです。

このドメインを割当てているIPアドレスは”204.152.210.142
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています!
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
まずは、Chromeが接続をブロックしてきました。

危険を承知で「安全でないこのサイトにアクセス」と書かれた部分から詐欺サイトへ行ってみると。
吉高さんと内村さんの写真が掲載されているサイトが表示されました。

ふと、アドレスバーのURLを見ると”https://www.smbc.co.jp/”と正規三井住友銀行サイトに
なっているではありませんか!
リダイレクト(自動転送)されていつの間にか正規サイトに飛ばされていたようです。

詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。


まとめ

サイトは何らかの理由で正規サイトにリダイレクトするように変更されたようですね。
でも、差出人のメールアドレスは偽装されているし、本文の内容もしっかりしているので
ついついコロっと騙されてしまいそうなメールでしたが、リンク先のURLを見ることで
一目でそれと分かりましたね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了