『詐欺メール』「【三井住友カード】から緊急のご連絡、情報を更新してください。」と、来た件

「三井住友カード」を騙る詐欺メールにご注意を！

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

国内有数の金融機関が中国のドメインで？！

最近「AMERICAN EXPRESS」に押されて影が薄い「三井住友カード」を騙るフィッシング詐欺メール
ですが、今朝はまたこのようなメールが届いております。

書いてあるのはいつの通り第三者不正利用の疑い。
それらしいことを書いておいてリンクに誘い込み、個人情報とクレジットカードの情報を詐取するのが
目的です。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【三井住友カード】から緊急のご連絡、情報を更新してください。」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
いつもそうですが、「緊急」「異常」「重要」とか受信者を焦らせるような言葉を使ってきますね。
でもこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”三井住友カード株式会社” <nca@service.r0p82.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

「三井住友カード」さんには、”smbc-card.com”って正規ドメインをお持ちです。
正規ドメインが有るのにわざわざこのようなでたらめな中国のドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

発信元メールサーバーは「JR神田駅」付近に？

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「nca@service.r0p82.cn」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「20220922021015364038@service.r0p82.cn」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from service.r0p82.cn (unknown [140.227.53.176])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、メールアドレスにあったドメイン”service.r0p82.cn”について調べてみます。

申請者の氏名は、私には読めない文字を含む漢字三文字の氏名の方でいかにも中国人って感じ。
そして”140.227.53.176”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが””ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”140.227.53.176”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、「JR神田駅」付近です。
この場所は、こういった調査ではよく見掛ける地域ですね。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

姑息！詐欺サイトは無料のドメインで運営

では引き続き本文。

【三井住友カード】をご利用いただきありがとうございます。

【重要】三井住友カードアカウントが停止されました!
いつも弊社カードをご利用いただきありがとうございます。
昨今の第三者不正利用の急増に伴い、弊社では「不正利用監視システム」を導入し、
24時間365日体制でカードのご利用に対するモニタリングを行っております。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、
誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。

アカウントのご利用制限の解除についてはこちら

ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
本メールは、重要なお知らせのため、メール配信をご希望されないお客さまへも配信しております。
本メールは、送信専用です。ご返信いただいても対応はいたしかねますのでご了承ください。

これもよく見掛ける本文ですから、おそらくどこの金融機関の詐欺にも使えるテンプレートを
利用したものでしょうね。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「アカウントのご利用制限の解除についてはこちら」って書かれたところに
張られていて、リンク先のURLがこちらです。

長ったらしいURLですね。(;^_^A
”translate.google.com”がドメインですが、これはGoogle翻訳ページのドメインです。
詳しくは分かりませんが、翻訳サイトに飛ばすように見せかけて、URLの後半にある
”h**ps://blue-sun-7cad.goub74-q3619.workers.dev/”に飛ぶような仕掛けなのでしょう。
(直リンク防止のため文字を一部変更してあります)

で、結局最終的に飛ばされたサイトのURLがこちらでした。

何かの呪文？？(笑)
しかしまぁよく作りますわ…(^▽^;)

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

えっ、まさかの安全宣言？
これは見逃すことは到底できません。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。
ただ、こんなURL調べて群れるかどうかは分かりませんが…

このURLで使われているドメインは、サブドメインを含め”silde.organiccrap.com”
このドメインにまつわる情報を取得してみます。

申請者は、アメリカの無料でDDNS(ダイナミックDNS)が取得できる「ChangeIP」
このサイトの運営者は、姑息にも無料のドメインを使って詐欺サイトを構築しているようですね。