数字が全角文字なのは、詐欺メールあるある”
私、そんなカード持ってないのに、突然支払いが停止されたとメールが届きました。
ところでエスポカードさん、私のメアドどこで知りましたか?(笑)
これは「エポスカード」に成りすまし、第三者不正利用の疑いがあると言い、リンクに誘い込み
個人情報やカードの情報等を盗み取ろうとするフィッシング詐欺メールです。
電話番号の数字が全角文字になっているのは、フィッシング詐欺メール”あるある”。
覚えておいて損はありませんよ!
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
「[spam] 【重要】「エポスNet」お支払いが停止されました。」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「"エポスカード" <acjeveee@service.bzvtt.cn>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
へぇ~っ、「エポスカード」さんが、”.cn”なんて中国のドメインを使ったメールアドレスでねぇ…
「エポスカード」さんには、”eposcard.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
発信元サーバーはJR神田駅付近にあり
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「acjeveee@service.bzvtt.cn」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「20220914200234834470@service.bzvtt.cn」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from service.bzvtt.cn (unknown [140.227.65.74])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
では、メールアドレスにあったドメイン”service.bzvtt.cn”について調べてみます。
登録者は私には読めない文字を含む漢字三文字の氏名の方で、おそらく中国の方でしょう。
そして”140.227.65.74”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですからアドレス偽装はありません。
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”140.227.65.74”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、JR神田駅付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
詐欺サイトは現在休憩中??
では引き続き本文。
| 日頃よりエポスカードをご愛顧賜り誠にありがとうございます。
エポスNetでは、会員皆さまのカードご利用内容について、第三者による不正利用が発生して
いないかどうかのモニタリングを行っております。
本メールは、現在お客様がお持ちのクレジットカードのご利用内容について、第三者により
不正利用された可能性が高いと、弊社の不正利用検知システムにより判断いたしましたので、
緊急でお送りさせていただいております。
カードのご利用内容について、至急確認したいことがございますので、下記リンクをアクセスし、
ご確認をいただきますようお願いいたします。
▼アカウントのご利用確認のお知らせについてはこちら
なお、ご契約のカードは、第三者による不正使用の可能性が高いため、既にカードのご利用を
一旦停止する対応をとらせていただいております。
ご不便とご心配をお掛けしますが、何とぞご理解をいただきますようお願い申し上げます。 |
こういった重要なメールには必ず「○○様」と宛名が付いているはずですが、それが無いのは
とても不自然に思います。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「アカウントのご利用確認のお知らせについてはこちら」って書かれたところに
張られていて、リンク先のURLがこちらです。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。
このURLで使われているドメインは、サブドメインを含め”hidden-water-5daa.tmnkhq0z6543.workers.dev”
このドメインにまつわる情報を取得してみます。
プライバシー保護でマスクされていて詳しい情報は取得できませんでした。(;^_^A
このドメインを割当てているIPアドレスは”172.67.191.47”
このIPアドレスを元にその割り当て地を確認してみます。
ピンが立てられのは、カナダのトロントにある「トロント市庁舎」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
開いたのは、紺色の背景だけの何も書かれていないページ。
いったい何がしたいのでしょうか?
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
これもその手段なのでしょうか?
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |