三井住友カードが中国のドメインでメールを?!三井住友カードを騙ったフィッシング詐欺メールも多々あるもので、このサイトでも度々ご紹介し
注意喚起を呼び掛けておりますが、またこのようなあからさまな詐欺メールが届きました。
 中国の国別ドメインが利用されたメールアドレスを堂々と使い三井住友カードを名乗る
不届き千万なメールです。
付けられているリンクも、表向きは三井住友のドメインを使ったものに見えますが、実は裏で
別のサイトに接続されるよう小細工が施されています。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は「[spam] 【ご注意】三井住友カードお客様情報の確認6/6/2023」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「三井住友カード <news-smbc.card.com@tjzhuoxin.cn>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 それにしても、このフィールドは知識があれば簡単に偽装できるのに、よくも三井住友を名乗りながら
中国のドメインを使ったメールアドレスを表記できるものですよね。
利用したのはシカゴ付近のサーバーでは、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 | Received:「from dfxfrss (unknown [195.88.24.107])」 |
先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”tjzhuoxin.cn”が差出人本人のものなのかどうかを
調べてみます。
 これによると”172.245.135.125”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”195.88.24.107”と同じ数字の羅列になるはずですが、それが全く異なるので
これでアドレスの偽装は確定です! ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”195.88.24.107”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元に使われた回線情報とその割り当て地を確認してみます。
 送信に利用されたのは、アメリカニューヨークにある「Kamatera」と言うプロバイダーです。 位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、「シカゴ」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
これじゃ最初の審査を誤ったことになりますがでは引き続き本文。 | 平素、「三井住友カード」をご利用いただきまして誠にありがとうございます。 「三井住友カード」 会員様、弊社にお預かりする「クレジットカードのお客様情報」は正確な情報ではないため、
弊社では、クレジットカード会社や銀行の決済規則に基づき、要件を満たしていないお客様に対して制限措置をさせて頂きます。
ご利用に支障をきたさないよう、お早めに下記のリンクをクリックして、正しい情報をご記入ください。 ★★★★★インターネットでのお手続きはコチラ★★★★★
https://www7.smbc.co.jp/indexC.html?aff=aap5pm0071&um=cpa&us=pc_m0024&hc_uus=2c5024036c335520dfbfd2bcd28ec764 ※上記リンクをクリックすると三井住友銀行カードのサイトに遷移します。
※受付日を含め2日間以内に本登録の手続きを行ってください。 <ご注意事項>
カード番号などの個人情報を含むご質問、および個別のお取引の照会などご本人確認が必要な以下のようなお問い合わせは、おメールでのお問い合わせをお願いいたします。
・お手続きが完了されているお客様にもメールをお送りする場合がございます
・ご登録内容の各種変更、照会(住所・電話番号・勤務先・支払口座等)
・カードのご利用内容やカード情報のご照会
・リボ・分割・キャッシングの残高および、設定内容に関するご照会
・各種資料のご請求(申込書、変更届等)
・カード・ご利用代金明細書の再発行に関するご照会
・カード発行状況のご確認・お申し込みの取り消し
・カードの解約のお手続き
・ご請求に関するご照会
・カードの不正使用の疑いに関するご照会 |
詐欺メールと言うものは、性格上無理やりにでもリンクへ誘い込もうとしてきます。
今回の理由は、「クレジットカードのお客様情報」は正確な情報ではないため」とのこと。
元々お客様情報が正しくなければクレジットカードなんて絶対に発行してくれないでしょ?
審査もあるし。
これじゃ、三井住友カードがカード発行時に審査を誤ったことになりませんか?
なんて詐欺メールにまともを求めても仕方ありません…(;^_^A このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていますが、最初に書いたようにこれは別サイトへつながるように
裏で仕組まれています。
本当のンク先のURLとトレンドマイクロの「サイトセーフティーセンター」での
危険度評価がこちらです。
 既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは、サブドメインを含め”accout-update-smbc-card.douyinshop.co” このドメインにまつわる情報を取得してみます。
 登録者の住所は、中国甘粛省(かんしゅくしょう)
このドメインを割当てているIPアドレスは”107.173.213.11”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 利用されているウェブサーバーは『ColoCrossing』なんてホスティングサービスのようです。 こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが建てられたのは詐欺サイトのメッカ「ロサンゼルス」
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
 開いたのはVpassログインと書かれた偽の三井住友カード利用者専用サイトへのログインページ。
丸ごと転載しているので、重要なお知らせの注意喚起へのリンクまでそのまま表示されていますね。 この本物そっくりのサイト。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめまた例によってこのメールにも中国の影が見え隠れしていました。
もちろん中国全てが悪いとは言いませんが、中国人の関与の疑いがある詐欺メールや詐欺サイトが
あからさまに多いというのは事実です。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
