『詐欺メール』「お利用を制限いたしました」と、来た件

★フィッシング詐欺解体新書★

理由も書かずに利用制限って…

水が湧くようにいくらでも送られてくる詐欺メール。
今度は『GMOあおぞらネット銀行』を騙ってきました。

『お利用』？？
もしかしてこの差出人は、日本語が苦手？？(笑)

どうやら私のアカウントの利用制限をしたようなのですが、その理由が何なのか全く何も書かれていません。
元々私、GMOあおぞらネット銀行に口座持ってないので、このようなメールを送られても
対処のしようがありませんけどね…(笑)。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「[spam] <GMOあおぞらネット銀行>お利用を制限いたしました」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”GMOあおぞらネット銀行” <norelay@axfy.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

毎度のお話ですが、GMOあおぞらネット銀行さんの公式なドメインは”gmo-aozora.com”で
”axfy.cn”なんて中国のドメインのものではありません。
信用第一の金融機関が、中国ドメインのメールアドレスでユーザーにこのような重要な
メールを送るなんて誰が考えてもおかしな話です。

最近よく見掛ける地図が

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

この時点でこのメールは、明らかにGMOあおぞらネット銀行さんが発したものではないことは
明白な事実です。

では、メールアドレスにあったドメイン”axfy.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”axfy.cn”の登録情報です。
これによるとこのドメインの申請者は、漢字2文字の氏名の方で恐らくは中国の方。
そして”117.50.177.190”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスがと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

この位置は、最近よく見掛ける気がします。
送信に利用されたのは、よく見掛けますね・・・
ホスト名に”wf4de84.cn”なんてドメインも見えるので、このIPアドレスには複数のドメインが割り当て
られていることが分かりますね。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、中国の「北京」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは遥か遠いヨーロッパの街で構築

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは「利用制限を解除」って書かれたところに付けられていて、
そのリンク先のURLとGoogleの「透明性レポート」のサイトステータスは
このようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”gmo-acozocriab.icu”

このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは”198.251.84.78”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているウェブサーバーは、所謂『防弾ホスト』と呼ばれることで知られる
『FranTech Solution』なんてホスティングサービスのようです。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、ルクセンブルクの『Bissen』と言う街付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本家のサイトを確認しましたが、まったく見分けがつかない本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

金融機関の数だけ詐欺メールがあると言っても過言はありません。
恐らく金融機関からこのような重要な情報は、簡単に偽装のできるメールではなく
電話で行われると思いますので、このようなメールを受け取った際は十分に注意して処理するように
心掛けてください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;