『詐欺メール』「【auじぶん銀行】インターネットバンキングロックのお知らせ」と、来た件

★フィッシング詐欺解体新書★

電話番号はガソリンスタンド？！

「auじぶん銀行」を名乗るなんとも不思議なメールが届きました。

差出人のメールアドレスを見る限り明らかに詐欺メールなのでサラッとご紹介してみることにします。
この本文から、私のアカウントがロックされていて入出金等のサービスが利用できない状態にある
と記されています。
ご丁寧にロックされた日時が「2023年5月22日 星期一13:56:05」と書かれていますが
この「星期一」って見慣れないのですがどういった意味なのでしょうか？
調べてみると、どうやらこれは中国語の曜日名で、「星期一」は月曜を指すようです。
と言うことは、差出人は中国と何らかの関係がある人物だと想像できますね。

そしてお問い合わせ先として書かれている「0120-977-211」と言う電話番号。
これも調べてみると「auじぶん銀行インフォメーションデスク」とは全く関係の無い
北海道音更町にあるガソリンスタンドの「スーパーセルフOK」さんの電話番号でした。
このGSさんもいい迷惑ですよね…(;^_^A

まずはプロパティーから見ていきましょう。

件名は「[spam] 【auじぶん銀行】インターネットバンキングロックのお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”auじぶん銀行” <jibunbank@mdwovkw.cn>」
皆さんはご存じの通り「auじぶん銀行」は携帯電話等の通信事業業者の「au」系列のIT企業。
確か”jibunbank.co.jp“が公式のドメインで、けして”mdwovkw.cn”なんて中国のドメインなんて使っていません。
なのでこの差出人は「auじぶん銀行」ではありませんね！
これで詐欺メール確定です。

リンクは偽装されています

では引き続き本文。

(直リンク防止のため直書きURLは一部文字を変更しています)

別に粗探ししたりケチをつけるわけじゃありませんが、ちょいちょい日本語の使い方間違ってるし
最後の行なんて句読点までおかしくなっちゃっています。(笑)

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、そのリンク先のURLでは”jibunbank.co.jp”と
正規公式ドメインが使われているように見えますが、実はこれ偽装されています。
本当のリンク先URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

既に危険なサイトとして登録されていて、そのカテゴリーは「フィッシング」とされています。

このURLで使われているドメインは、サブドメインを含め”www.vcus.ski”
このドメインを割当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”194.124.216.46”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、オランダの首都「アムステルダム」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

PCを利用し安全な方法でリンク先の詐欺サイトに調査目的で訪れてみましたのですが
「お客様の携帯ブラウザで登録してください。」と表示されてPCでは表示できませんでした。
携帯電話なら恐らく「auじぶん銀行」の偽サイトが表示されログインするように促されるでしょうね。

まとめ

ざっくりとした調査でしたがいかがでしたでしょうか？
詐欺メールには波があるので、もしかしたらこの「auじぶん銀行」を騙る詐欺メールは
しばらく続くのかもしれません。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;