『詐欺メール』「【ご注意】三井住友銀行カードご利用確認」と、来た件

三井住友カードを騙った詐欺メール

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

「おメール」なんて妙にご丁寧ですね！(笑)

三井住友カードを騙ったフィッシング詐欺メールも多く見られます。
今月の支払い金額を確認を偽ったり、第三者の不正利用を騙ったり。
今回もその類の怪しいメールが届いたので、いち早くご紹介すべくブログを書いております。

そのメールがこちらです。

なんでもクレジットカードに問題が検出されたとのこと。
それを理由にカード利用を一時停止していると書かれています。

確かに私、こちらのカードを持っていますが、登録に用いたメールアドレスはこのメールアドレスでは
無くこのアドレスに三井住友カードからメールが届くのは不信です。
それにここに表示されているアカウント登録したものではありません。

ツラツラと読み進めていると「おメール」ってくだりに目が止まります(笑)
「おメール」ってあまりにも丁寧すぎませんか？
この差出人は日本人なのでしょうか？

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「[spam] 【ご注意】三井住友銀行カードご利用確認 5/17/2023」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「三井住友カード株式会社 <member-smbc-card.com@togo2590.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

本文の箇条書き部分にこのように書かれています。

※ご回答は@smbc-card.comのドメインからお送りします。迷惑メール設定を行われている方は、このメールを受信できるよう、事前にドメイン指定受信のご設定をお願いたします。

これは、三井住友カードは”smbc-card.com”というドメインから送るので、このドメインからのメールを
拒否しないように受信設定をするように書かれていますよね？
あれれ？でもこのメールの差出人のアドレスのドメインは”togo2590.cn”ってどういうこと？
これじゃ頭隠して尻隠さずじゃないですか…(笑)

それに「お願いたします」って日本語間違っていますよね？
粗探しをしているわけじゃありませんが「い」が一つ不足しており、本来「お願いいたします」と
なるはずです。

発信元サーバーはシカゴ

もう既にこのメールは詐欺メール確定ですが、もう少し踏み込んで調査していきましょう！
まず、このメールのヘッダーソースにあるを”Received”確認してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した”Received”がこちらです。

Received:「from hgmhtiudyq (unknown [43.231.233.98])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”43.231.233.98”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその通信情報と割り当て地を確認してみます。

この差出人が利用したホスティングサービスは、アメリカニューヨークに本社を置く「Kamatera」

そして割り当て地。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、アメリカのシカゴ付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンクは偽装

では引き続き本文。

※※※重要なお知らせ※※※
受付日時：5/17/2023
※クレジットカードの確認で問題が検出されました。セキュリティのため、クレジットカードの一時性をロックしています。
※カードの安全性を再度使用するには、いくつかの情報を確認する必要があります。
※この問題が24時闇以内に解決しない場合、不正に使用される可能性があるため、クレジットカードを永久にロックする必要があります。

【ユーザーID】
***@***.***

【関連ページ】
h**ps://www.smbc-card.com/olentry/online_nyukai/login_display.do?bangou=0011413739466995

※上記リンクをクリックすると三井住友銀行カードのサイトに遷移します。
※受付日を含め2日間以内に本登録の手続きを行ってください。

(直リンク防止のため直書きURLは一部文字を変更しています)

リンク先のURLは”smbc-card.com”と、いかにも三井住友カードの正規サイトのように書かれていますが
もちろんこれは大嘘！
試しにクリックしてみるとThunderbirdがこのようなメッセージを発しました。

どうやらリンク先のドメインは”nguyel.biz”だとのこです。

既に危険なサイトとして周知済み

リンク先のURLをトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
その危険度評価がこちらです。

このように既に危険なフィッシングサイトと周知されていました。

このURLで使われているドメインは”nguyel.biz”
このドメインにまつわる情報を取得してみます。

このドメインの申請者は、中国の甘粛省の方。
そしてこのドメインを割当てているIPアドレスは”23.94.179.49”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、アメリカニューヨークにあるバッファロー付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

開いたのは三井住友カード会員専用のウェブサイトVpassへのログイン画面。
「重要なお知らせ」ってところに詐欺メールについて言及しているところが笑えますね。
これは、本家サイトを丸ごとダウンロードして、それを自分のウェブサイトにアップしているので
完全クーロンで本当のサイトとまったく見分けがつきません。
ユーザーの方は、間違っても絶対にログインしてはいけませんよ！