『詐欺メール』「【Ｖｉｓａデビット】重要なお知らせ」と、来た件

中国一色

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

PayPay銀行が中国のドメインを使う？！

件名にある『Ｖｉｓａ』と言う全角のアルファベットが妙に気になるのは私だけでしょうか？
どうもこの手のメールでは全角アルファベットが付き物のようです。

このメールは、PayPay銀行を騙ったフィッシング詐欺メール。
第三者不正利用をネタにリンクへ誘い込んでカード情報を盗み取ろうとするものです。

ついつい気になって落書きしてしまいました(笑)
真っ先に気になってのは、差出人のメールアドレスと、1つ目のリンク先URLのドメイン。
PayPayは国内の企業のはずが、どちらも中国の国別ドメインが使われていて怪しさ満点。

そして、ツラツラ読んでいくと突然の中国語…(;^_^A
『请按照上述步骤准确、及时地提供必要的信息』
どんだけ中国なん？…
これですべてが台無しですね！(笑)
何て書いてあるのか翻訳してみると。
『上記の手順に従って、必要な情報を正確かつタイムリーに提供してください。』

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「[spam] 【Ｖｉｓａデビット】重要なお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”＜PayPay銀行＞” <japannetbank@fuyun888.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

もちろん”fuyun888.cn”はPayPay銀行さんのドメインではありません。
PayPay銀行さんの公式な正規ドメインは”paypay-bank.co.jp”ですからお間違いのないように！

送信サーバーは北京市に

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

Received:「from fuyun888.cn (unknown [106.75.2.245])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、「Ucloud」と言う中国のプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、「中国北京市海淀区」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

しかしこのメールには中国がいっぱい出てきますね…(;^_^A

詐欺サイトは既にブラックリスト入り

では引き続き本文。

いつもPayPay銀行VISAデビットをご利用いただきありがとうございます。
第三者による不正使用の可能性を検知したため、アカウントを一時的に停止させていただきます。
ご本人確認の後、アカウントを復元することができます。

▽お手続きはこちら
h**ps://pocketcoin.cn?paypay-bank.co.jp/wctx/LoginAction.do?idMenuSelect=vi2004jb04s
※メールを受け取ったお客さま専用のページです。ほかのお客さまはご利用いただけません。
————————————
【個人情報の確認手続き】
① デビットカードとワンタイムトークンをお手元に用意ください。
② PayPayアプリのページにアクセスし、ログインしてください。
③ 口座情報変更ページにアクセスして、必要な情報を入力し、確認してください。
本メールがご自身宛でない場合、他の方が誤って同じメールアドレスを登録したものと考えられます。
配信停止のお手続きをさせていただきますので、メール本文を削除せず、件名を「宛先の間違い」と修正のうえ、ご返信をお願いいたします。
————————————
请按照上述步骤准确、及时地提供必要的信息。
何かご不明な点がありましたら、遠慮なくPayPay銀行カスタマーセンターまでお問い合わせください。
今後ともPayPay銀行をよろしくお願い申し上げます。
————————————
PayPay銀行　Visaデビットカスタマーセンター
https://www.paypay-bank.co.jp/support/customer.html#visa
営業時間：9時～17時
休業日：12月31日～1月3日、5月3日～5月5日

本文をそのままコピペしているので文字化け等はご容赦ください。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
上のリンクが詐欺サイトへのリンクで、下のリンクは正規PayPay銀行へ接続されます。
その詐欺サイトのURLとトレンドマイクロの「サイトセーフティーセンター」での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”pocketcoin.cn”
このドメインにまつわる情報を取得してみます。

持ち主は、詐欺メール調査でよく見掛ける中国の方。
このドメインを割当てているIPアドレスは”172.67.177.218”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているウェブサーバーは、アメリカの『Cloudflare, Inc.』なんてホスティングサービスのようです。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、ニューヨークのブルックリンブリッジの橋のたもと付近。
これって1つ前にご紹介したDMMを騙る詐欺メールのリンク先と同じ場所ですね。
もしかして、同一犯だったりして…
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

何故か中国語のサイトに接続される

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

おっと、偽のPayPay銀行へのログインページが表示されると思いきや、中国語のページが開きました。
何が書いてあるのかさっぱりわからないので、Google先生にお願いして日本語に翻訳していただきました。

上の方に『このドメインは BIN Sales に掲載されており、購入可能です。』と書いてあるので
”pocketcoin.cn”ってドメインは現在売りに出されているってことでしょうか？
でも、このサイトのドメインはどう見ても”pocketcoin.cn”だし、トレンドマイクロの
「サイトセーフティーセンター」でも危険なサイトとして登録済みだし。
よくわかりませんね…