サイトアイコン HEARTLAND

『詐欺メール』「【緊急の連絡 】イオンカード ご利用確認」と、来た件

イオン対アメリカンエキスプレス
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

いったい何度請求金額が確定されるのでしょうか?

先日、先週からの傾向から今週のトレンドは「イオン」かもとお話したのですが、
ふたを開けてみれば、このように週の前半は「AMERICAN EXPRESS」を騙るものが突出してきました。
この傾向はいつまで続くのでしょうか?
って言うか、どれだけクレカを持っててどれだけ請求金額が確定されるのでしょうか?(笑)

さて、話は変わって今回ご紹介したいのはこちらのイオンクレジットに成りすましたメール。

書いてあるのは、例によって第三者不正利用を疑う内容。
カードが不正利用された疑いがあるので、リンクを辿って利用確認を促すものです。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【緊急の連絡 】イオンカード ご利用確認」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”AEON” <gtdbtc@vnsqkqk.cn>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

いつもお話している通り「イオン」さんには、”aeon.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめな中国のドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。


発信元サーバーはロンドンにあり!

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「gtdbtc@vnsqkqk.cn」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「20221004210450627138@vnsqkqk.cn」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from smtp.vnsqkqk.cn (unknown [212.86.105.153])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、メールアドレスにあったドメイン”vnsqkqk.cn”について調べてみます。

このドメインの持ち主は、私には読めない文字を含む漢字三文字の氏名の方。
「成都西维数码科技有限公司」と言う中国成都にあるレジストラが登録を担っているので
恐らくこの方は中国人。

そして”212.86.105.153”がこのドメインを割当てているIPアドレス。
Received”のIPアドレスと全く同じですからアドレス偽装は無いようです。

「フィールド御三家」の中で一番重要なのは”Received
これを紐解けば差出人の素性が見えてきます。
Received”のIPアドレス”212.86.105.153”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

珍しいですね、ピンが立てられたのは、「London」付近です。
詐欺メールの調査ではあまり見かけない国です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。


姑息に無料のサブドメイン使ってるし

では引き続き本文。

日頃よりAEONCARDをご愛顧賜り誠にありがとうございます。

AEONCARDでは、会員皆さまのアカウントご利用内容について、第三者による不正利用が発生して
いないかどうかのモニタリングを行っております。

本メールは、現在お客様がお持ちのAEONCARDアカウントのご利用内容について、第三者により
不正利用された可能性が高いと、弊社の不正利用検知システムにより判断いたしましたので、
緊急でお送りさせていただいております。

AEONCARDアカウントのご利用内容について、至急確認したいことがございますので、
下記リンクをアクセスし、ご確認をいただきますようお願いいたします。

AEONCARDアカウントのご利用確認のお知らせについてはこちら

なお、ご契約のカードは、第三者による不正使用の可能性が高いため、既にカードのご利用を
一旦停止する対応をとらせていただいております。

ご不便とご心配をお掛けしますが、何とぞご理解をいただきますようお願い申し上げます。

イオンクレジットサービス株式会社
AEON CREDIT SERVICE CO., LTD.
東京都千代田区神田錦町3丁目22番地 テラススクエア
TEL:代表03-5281-2030 (平日10:00~17:00 ※土日祝日を除きます)

テンプレートを使わずしっかり作り込まれていますね。
でもこのメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「AEONCARDアカウントのご利用確認のお知らせについてはこちら」って
書かれたところに張られていて、リンク先のURLがこちらです。

この”https://translate.google.com/translate?”から始まるこのURL、実は後半にある別のURLを
Googleの翻訳サイトで翻訳させるURLなのです。

でも、これは釣りであって、このURLに接続するとリダイレクト(自動転送)で別サイトに飛ばされる
仕組みになっています。
そのリダイレクト先のURLがこちらです。

もちろんこのURLにも「イオン」を彷彿とされる記述はどこにも見当たりません。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”addssitiona-adminss.zzux.com
このドメインにまつわる情報を取得してみます。

申請者は、無料でサブドメインを貸し出すことで有名なアメリカの「ChangeIP」さん。
どうやらリンク先サイトの管理者は、姑息にもここで無料のサブドメインを入手して
サイトを運営しているようです。

このドメインを割当てているIPアドレスは”34.85.17.218
このIPアドレスを元にその割り当て地を確認してみます。

地図と住所に乖離が見られますが、ピンが立てられのは、杉並区和泉2丁目公園付近。
そして、利用されているプロバイダーは「Google LLC」
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの「サイトセーフティーセンター」で「未評価」とされているので、無防備に放置されて
いるであろう予想しながら安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
でも、Googleでは既に危険なものとしてブラックリストに登録されているようで、Chromeがしっかり
接続をブロックしてきました。

危険を承知で構わず先に足を進めると、開いたのは「AEON CARD」と書かれたログインページ。

もちろん偽サイトですから絶対にログインしないでください。
もし万が一間違ってログインしてしまった場合は、大至急「お客様サポート」に連絡してください!


まとめ

そう言えば最近「三井住友カード」に成りすますフィッシング詐欺メールが少なくなりました。
その分「イオン」や「AMERICAN EXPRESS」に成りすますものが増えているので総数は変わっていない
のかも知れませんが…

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了