『詐欺メール』「最新情報のお届けをお願いいたします」と、来た件

三井住友カードが中国のドメインで？！

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

勝手に利用が句を引き上げるって？

今朝も意味不明なメールが続々と私の手元に届いております。
今度は『三井住友カード』を騙ったフィッシング詐欺メールのご紹介です。

これまた日本語の使い方がおかしなメールですね。
『以下よりインターネットサービス「Vpass」にログインのうえ、などの最新情報のお届けをお願いいたします。』
なんてさっぱり意味が分かりません。(;^_^A

このメールによると、なぜだかカード会社側から一方的にカードの利用限度額を引き上げようと
しているみたいですね。
実際にそんなことってあるのでしょうか？^^;
それをネタにしてリンク先に誘い込んで色々な情報を盗み取るのが目的です。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「[spam] 最新情報のお届けをお願いいたします」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”三井住友カード” <support@service.573leleyou.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

出ました中国のドメイン。
国内の財閥出身の企業が、どうして中国のドメインを使ったメールアドレスで利用者に向けて
情報を発信するのでしょうか？
ちょっと考えれば簡単に分かることです！

脅威レベルは『高』

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

Received:「from service.573leleyou.cn (unknown [107.175.91.195])」

メールアドレスから既にこのメールの差出人は、三井住友カードの方ではないのは明らか。

では、メールアドレスにあったドメイン”service.573leleyou.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメインの登録情報です。
登録者の氏名は、私には読めない漢字を含む氏名の方です。
これによると”107.175.91.195”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスがと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

このIPアドレスを元に割り出した危険度は『脅威レベル：高』
その詳細は『サイバーアタックの攻撃元』表示とされています。

送信に利用されたのは、アメリカの「ColoCrossing」と言うプロバイダー。
ここからはたくさんの詐欺メールが発信されていることで知られています。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、アメリカの「ダラス」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは閲覧できず

では引き続き本文。

平素は三井住友カードをご利用いただき、誠にありがとうございます。
弊社では、お手持ちのカードをより一層便利にご利用いただくため、定期的にショッピングご利用枠の引き上げを検討させていただいております。以下よりインターネットサービス「Vpass」にログインのうえ、などの最新情報のお届けをお願いいたします。

最新情報のお届けはこちら（期日：2023年7月末）
※よくあるご質問もこちらからご確認いただけます。

詳細はこちら

何度読んでも笑えてきますね。(笑)

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは「詳細はこちら」って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの「サイトセーフティーセンター」での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”accout.smba.jp.michaellgreen.com”

このドメインを割当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”192.227.241.198”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているウェブサーバーは、またしても『ColoCrossing』です。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、アメリカロサンゼルスにある『カリフォルニア州交通局』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみましたが、PCでは
『localhostに接続できませんでした』とエラーページが表示されました。
もしかしてとスマホで接続してみると、接続がブロックされて残念ながら閲覧はできませんでした。