『詐欺メール』「【重要】 不正ログインに関する重要なお知らせ【三井住友信託銀行】 【自動メール配信】」と、来た件

★フィッシング詐欺解体新書★

例によって第三者不正利用を疑うもの

明日から4月ですが、桜前線がものすごい勢いで北上する今年。
「三井住友信託銀行」を騙る詐欺メールの勢いもものすごいです。

書いてあるのは例によって第三者不正利用を疑うもの。
このようなメールで、ユーザーを不安に陥らせリンクからログインアカウント情報や個人情報
等を盗み出すのがこのメールの目的です。
そのリンクは、文中にでかでかとURLで張られていますね。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【重要】 不正ログインに関する重要なお知らせ【三井住友信託銀行】 【自動メール配信】」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”三井住友信託銀行” <norperly@smtb.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

もちろん偽装ですが、ちゃんと「三井住友信託銀行」さんのドメイン”smtb.jp”を使った
メールアドレス使ってきていますね。
では次の項で偽装を暴いて行きましょう。

”163data.com.cn”にご注意を！

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

この差出人は、あくまで自分のドメインは”smtb.jp”と言い張るようですね。
ならばその鼻っ柱をへし折ってやりましょうか！

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”smtb.jp”について調べてみます。

もちろんこのドメインは「三井住友信託銀行株式会社」さんの持ち物です。
そして”23.56.170.41”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”59.60.67.34”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね！

因みにこのIPアドレスを逆引きしてみるとこのようなドメインが割り当てられていました。
この”163data.com.cn”というドメインをGoogle検索してみると、ヤバい情報がたくさん出てきます。(;^_^A

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”59.60.67.34”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、中国福建省寧徳市付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンクを偽装し、更に自動転送する

では引き続き本文。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に長ったらしく書かれてれています。
”smtb.jp”と本家のドメインが使われていますが、これはウソでリンク偽装されています。
リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。
で使われているドメインは、”wadlouis.cyou”

このURLに接続してみると、更に自動転送されて今度はこちらのURLに誘導されました。

今度の評価は「未評価」です。
こちらで使われているドメインは、サブドメインを含め”login.smjtb-japan-lexia.sbs”
このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは”69.25.116.226”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、アメリがデラウェア州ホッケシン付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

「Error 522」「Connection timed out」と書かれているので、一定時間内に接続が確立されなかった
ようですね。
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。

まとめ

「三井住友信託銀行」を騙る詐欺メールはまだまだ続くようですね。
ユーザーさんは引き続きご注意ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;