『詐欺メール』auじぶん銀行から「【緊急】重要なお知らせ：口座利用停止」と、来た件

★フィッシング詐欺解体新書★

普通確たる理由も無く口座の利用が停止される

イオンにまつわるフィッシング詐欺メールが一晩に8通。。。

多すぎてこれじゃ騙されたくても騙されようがありませんよね。(;^_^A

でも今回ご紹介するのはイオンじゃなくてこちらのメール。

このメールは『auじぶん銀行』に成り済ますフィッシング詐欺メールです。
だいたい普通確たる理由も無く口座の利用が停止されるでしょうか？
そんなの信用問題に関わる問題です。
更に私、こちらの銀行に口座なんて持っていないし、それにauじぶん銀行が私のメールアドレスを
知っているはずがありませんもん！

適当なこと言ってユーザーをリンクに誘い込み、ユーザーのアカウント情報と、個人情報、更には
クレジットカードの情報まで引き出そうとする手口です。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「[spam] 【緊急】重要なお知らせ：口座利用停止」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”auじぶんダイレクト” <info@jibunbank.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

auじぶん銀行のウェブサイトへ行ってみる分かりますが、”jibunbank.jp”は公式ドメインではなく
”jibunbank.co.jp”が正式な公式ドメインです。
なのでこのメールアドレスは偽装されている可能性が非常に高いと思われます。

IPアドレスに割り当てられてないドメイン

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”jibunbank.jp”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”jibunbank.jp”の登録情報です。
このドメインも確かにauじぶん銀行さんの持ち物ですが、公式なものではないのでIPアドレスを割当てて
いないようです。
IPアドレスに割り当てられてないドメインをネット上で利用することはできませんのでこのメールアドレスは
偽装確定です！

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、世界最大の携帯電話事業者の中国の「China Mobile」と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、「中国 広東省 深セン」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンク先は香港にあり

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは「本人確認はこちら」って書かれたところに付けられていて、
そのリンク先のGoogle「透明性レポート」でのサイトステータスはこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”kennhhhyfffeghea12.icu”

このドメインを割当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”103.140.239.214”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているウェブサーバーは『UFO Network Limited』なんてホスティングサービスのようです。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、香港の『Mong Kok』と言う街。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
するとこのようにエラーが吐き出されてしまい詐欺サイトを閲覧することはできませんでした。

いつの間にかサイトのURLが『h**ps://torontocondovalue.com/』に変わっていました。
きっと自動転送が組み込まれていたのでしょう。

末尾に『Cloudflare』と書かれているので、このエラーはインターネットセキュリティサービスの
Cloudflare社が出しているメッセージです。

どうやらリンク先の詐欺サイトは、このインターネットセキュリティサービス側で遮断されたようです。

まとめ

リンク先は、遮断されたようでとりあえずは一安心。
でも、詐欺グループはそんな甘いものじゃありません！
きっと別のドメインと別のホスティングサービスを使い新たな詐欺サイトを構築するでしょうね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;