『詐欺メール』新「【三井住友カード】異常振込入金のお知らせ」と、来た件

★フィッシング詐欺解体新書★

中華フォントとおかしな漢字

以前に三井住友カードを騙ったフィッシング詐欺メールに関すすこのようなブログを
エントリーしていました。

『詐欺メール』「【三井住友カード】異常振込入金のお知らせ」と、来た件

相変わらず中国のドメインメールで ※ご注意ください！ このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし 悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。 このようなメールを受け取っても絶対に本...

ymg.nagoya

今回、同じ件名で内容の異なるフィッシング詐欺メールが届きましたので、改めてご紹介
させていただこうと思います。

何となく違和感の有るフォントですよね？
このフォントは恐らく”Yahei”と呼ばれる中華フォント。
よく見ると「直ちに」の「直」の文字が、常用漢字には無いものになっていますね。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【三井住友カード】異常振込入金のお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”三井住友カード” <info@vpass.ne.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

上手く化けたつもりしょうか？…
”vpass”は、三井住友カードユーザー専用のウェブサイトの名称ですからそれっぽいのですが
件名に”[spam]”とあるのでこのメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。

IPアドレスの割り当てが無いドメイン

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”vpass.ne.jp”について調べてみます。

これによると、このドメインは現在IPアドレスに割当てられていない模様。
IPアドレスに割り当ての無いドメインでメールの受送信はできませんから、このメールアドレスは
やはり偽装されているようです。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”121.33.128.145”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、中国広東省広州市付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

「身の知らないご入金」なんて使う？

では引き続き本文。

「身の知らないご入金」や「お客さまの信用状況」などとあまり使わない言い回しが見られますので
少し違和感を感じざるおえません。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ログイン」って書かれたウグイス色のボタン張られていて、リンク先の
URLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、”gugn85hjfkl.club”
このドメインにまつわる情報を取得してみます。

登録者の情報は、ほとんどプライバシー保護でマスクされていますね。
このドメインを割当てているIPアドレスは”198.211.24.161”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、ロサンゼルス近郊のサンタクララ川のほとりにあるサンタクラリタ付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
ウイルスバスターに一旦はブロックされましたが、危険を承知で進んだ先で開いたサイトは…

中国語で何やら書かれていますね。
このアイコンから想像するに、どうやらうまく接続できなかったようです。
Google先生にお願いして中国語を翻訳してみました。

やはりリンクには接続できなかったようです。

詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。

まとめ

三井住友銀行を騙る詐欺メールは、Amzonの次に多いとされています。
実際に私の所にも毎日大量に漂着しているのも事実ですし、皆さんの所へも届いていることと思います。
またこれからも大量に届くでしょう。

恐ろしいことに、今、こうしている間にもいくつものフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;