日本語に少々難あり 明日はクリスマスイブ。
いよいよ2022年も締めくくりの時期が近づき、いやがおうにも気持ちがせわしなくなってきますね。
さてそんな中、今日はUCカードからこのようなメールが届いています。
 「予約した請求書の住所」とか、どことなく意味不明な言葉があったり、句読点が連続したりとか
いかにも詐欺メールという感じのする文章ですね。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【重要】UCカードの利用確認」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”UCカード” <uccard-service@midtnmortgage.com>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが UCカードはみずほ銀行の子会社でクレジットカードに関する事業を営む信販企業。 この会社の世紀ドメインは”uccard.co.jp”で、けして”midtnmortgage.com”なんて
ドメインではありません。。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
香港のサーバーを経由 では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「uccard-service@midtnmortgage.com」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「D7B75BC60CA280AAFFD0E2E91F35F79E@tcat」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from smtp.midtnmortgage.com (unknown [36.255.220.151])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、メールアドレスにあったドメイン”midtnmortgage.com”について調べてみます。
 これによると”36.255.220.151”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですからどうやらメールアドレスの偽装は無いようです。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”36.255.220.151”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
 IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、香港のCentral and Western付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
リンク先はUCカードとはかけ離れたドメイン では引き続き本文。 | 弊社に予約した請求書の住所情報が期限切れです。 すぐに住所情報を更新してくだ さい。そうでなければ、クレジットカード口座を一時的に停止します。以下のリン クをクリックして更新してください。 今アカウントを確認できます。 確認 あなたの情報を適時に更新してください。そうでなければ、アカウントは24時間以 内に停止されます。。
———————————————————————-
※本メールはUCカードから自動的に送信されています。
※本メールに心当たりがない方は、お手数ですがお問い合わせ先まで
ご連絡いただきますよう、お願い申しあげます。
※本メールへの返信は受付いたしておりません。
———————————————————————-
どうぞよろしくお願いいたします。
【配信元】 UCカード Copyright © UC CARD CO.,LTD. All Rights Reserved. | 宛名も詳しい連絡先も記載のないメール。
ビジネスメールだとすれば完全にルール違反ですね!
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「確認」と書かれた黄色いボタンに張られていて、リンク先のURLと
トレンドマイクロの「サイトセーフティーセンター」による危険度の評価がこちらです。
 このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、”miriamkim.com”とこれまたUCカードとはかけ離れたドメイン。
このドメインにまつわる情報を取得してみます。
 申請者は、メールのドメインと同じ。 このドメインを割当てているIPアドレスは”204.152.210.213”
このIPアドレスを元にその割り当て地を確認してみます。
 こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています!
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 開いたのは「UC CARD アットユーネット!」と書かれたログインページ。
 こちらが本物の「UC CARD アットユーネット」のログインページ。
 今回は、まったく同じではなく少しアレンジされているようですね。
どちらにしてももちろん偽サイトですから絶対にログインしないでください!
まとめ 怪しいメールが届いたら、まず真っ先に差出人のメールアドレスにあるドメインに着目してみてください。
偽物の場合は、今回のように本当の差出人とは異なるドメインが使われていることが多くあります。
但し知識さえあらば、このメールアドレスは簡単に偽装ができるのでうのみにはできませんが… 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 