サイトアイコン HEARTLAND

『詐欺メール』アイフルから「【重要】スマートフォンからの本人確認」と、来た件

ついに消費者金融にまで手を広げ
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

アイフルがどうして私のメールアドレスを?!

のんびりと過ごした日曜の午後、消費者金融の『アイフル』からこのようなメールが届きました。

私、裕福な生活をしているわけじゃありませんが、このような消費者金融にお金を借りたことなんて
一度もありません。
なので、このようなメールに心当たりはありませんし、アイフルが私のメールアドレスを知っている
はずもありません。
そう思って良く見ると、差出人のメールアドレスも本文中に付けられているリンク先のURLも
どちらも使われているドメインは”.cn”と中国のもの。
京都に本社を置くアイフルがわざわざ中国のドメインを使いますかね?(笑)

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は「【重要】スマートフォンからの本人確認」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
悪意のあるメールなら、いつも見出しに[spam]とスタンプが付けられてくるのですが、今回はそれが
ありません。
どうやら今回は、サーバーのスパムフィルターが誤動作したようです。

差出人は
「アイフル株式会社 <aiful@dayushoes.cn>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

アカウント名に”aiful”とあるのでそれらしく見えますが、アイフルさんの公式な正規ドメインは
aiful.co.jp“で、少なくとも”dayushoes.cn”なんて中国のドメインではありません。


良く見掛ける漢字2文字の氏名が

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

Received:「from dayushoes.cn (unknown [117.50.194.61])」

差出人のメールアドレスは、明らかにアイフルさんのものではないので、このメールは詐欺メールと
断定することができます。

では、この”dayushoes.cn”ってドメインに付いて調べてみます。

割当てているIPアドレスと”Received”に記載のIPアドレスは一致するので、アイフルからの
メールではないもののメールアドレスの偽装はされていないようです。
そしてこのドメインの申請者部分は、詐欺メール調査では常連さんのお名前が表示されています。

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、中国の「Ucloud」と言うプロバイダーです。
位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、「北京市」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。


違和感のない本文

では引き続き本文。

お客様各位

いつもアイフルをご利用いただきましてありがとうございます。

システム不具合によりスマートフォンからの本人確認サービス(e-KYC)がご利用いただけない状態となっておりましたが、復旧が完了いたしました。お客様のスマートフォンからの本人確認をお願いいたします。

本人確認の手続きを行うために、以下のURLをクリックしてください:

h**ps://aiful.fzjiarun.cn?aiful.co.jp/net/vwc/cca_lg_eu_nets/cca

URLをクリックすることで、スマートフォンからの本人確認手続きに進むことができます。手続きの詳細に関しては、URL先のページにてご確認ください。

なお、本人確認手続きはセキュリティ上の理由から必須となっております。お客様のプライバシーとアカウントの安全性を確保するため、ご協力をお願い申し上げます。

もし心当たりがない場合やご不明な点がございましたら、お手数ですが弊社までご連絡ください。お客様サポートがお手伝いいたします。

アイフル株式会社のお客様サポート: 電話番号: 0120-201-810

ご理解とご協力を賜りますようお願い申し上げます。

(リンク先のURLは、直リンク防止のため一部文字を”*”に変更してあります。)

特に何も違和感のない本文ですね。
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きさられていて、
そのリンク先のURLとトレンドマイクロの「サイトセーフティーセンター」での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”aiful.fzjiarun.cn”と、またしても中国の
国別ドメインが使われています。

では、このドメインも情報を取得してみます。

当然と言えば当然なんでしょうが、このドメインもメールアドレスにあったドメインと同一人物が
申請者として登録されていました。

このドメインを割当てているIPアドレスは”172.67.191.17
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

この地図の位置、最近よく見かけますね。(;^_^A

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、ニューヨークにある『ブルックリン橋』のたもと付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

なんか顔のアイコンが載ってる中国語の書かれたページが開きましたね。
この中国語を翻訳してみるとこのように書かれていました。

『気の毒だと思う!このサイトは管理者によって停止されています。詳細については管理者にお問い合わせください。』

どうやら悪意のあるサイトとしてプロバイダー側から強制的に遮断されたようですね。
とりあえずこのURLではもう活動できないようですので一安心です。


まとめ

ECサイトや銀行、カード会社に飽き足らず消費者金融にまで触手を伸ばし始めた詐欺メール。
いったいどこまで手を広げるのでしょうか…

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了