サイトアイコン HEARTLAND

『詐欺メール』auじぶん銀行から「【緊急】重要なお知らせ:口座利用停止」と、来た件

『auじぶん銀行』を騙る
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

普通確たる理由も無く口座の利用が停止される

イオンにまつわるフィッシング詐欺メールが一晩に8通。。。

多すぎてこれじゃ騙されたくても騙されようがありませんよね。(;^_^A

でも今回ご紹介するのはイオンじゃなくてこちらのメール。

このメールは『auじぶん銀行』に成り済ますフィッシング詐欺メールです。
だいたい普通確たる理由も無く口座の利用が停止されるでしょうか?
そんなの信用問題に関わる問題です。
更に私、こちらの銀行に口座なんて持っていないし、それにauじぶん銀行が私のメールアドレスを
知っているはずがありませんもん!

適当なこと言ってユーザーをリンクに誘い込み、ユーザーのアカウント情報と、個人情報、更には
クレジットカードの情報まで引き出そうとする手口です。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は「[spam] 【緊急】重要なお知らせ:口座利用停止」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”auじぶんダイレクト” <info@jibunbank.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

auじぶん銀行のウェブサイトへ行ってみる分かりますが、”jibunbank.jp”は公式ドメインではなく
jibunbank.co.jp”が正式な公式ドメインです。
なのでこのメールアドレスは偽装されている可能性が非常に高いと思われます。


IPアドレスに割り当てられてないドメイン

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

Received:「from rd (unknown [112.51.62.107])」

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”jibunbank.jp”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”jibunbank.jp”の登録情報です。
このドメインも確かにauじぶん銀行さんの持ち物ですが、公式なものではないのでIPアドレスを割当てて
いないようです。
IPアドレスに割り当てられてないドメインをネット上で利用することはできませんのでこのメールアドレスは
偽装確定です!

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、世界最大の携帯電話事業者の中国の「China Mobile」と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、「中国 広東省 深セン」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。


リンク先は香港にあり

では引き続き本文。

いつもauじぶん銀行をご利用いただき、心より感謝申し上げます。

この度、大変重要なお知らせがございますので、お手数ですがお時間を割いてお読みください。

auじぶん銀行の口座安全保護ポリシーにより、あなたの口座は停止されました。

当行はお客様の口座の安全とセキュリティを最優先に考えておりますので、ご本人様確認のためにお手続きをお願いしております。

以下のリンクをご利用いただき、本人確認いただけます。

本人確認はこちら
※ご注意※

上記のURLはお客様専用の本登録URLとなります。24時間経過すると無効となりますので、お早めにご確認ください。

※なお、本メールへのご返信はお控えください。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは「本人確認はこちら」って書かれたところに付けられていて、
そのリンク先のGoogle「透明性レポート」でのサイトステータスはこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”kennhhhyfffeghea12.icu

このドメインを割当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”103.140.239.214
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているウェブサーバーは『UFO Network Limited』なんてホスティングサービスのようです。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、香港の『Mong Kok』と言う街。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
するとこのようにエラーが吐き出されてしまい詐欺サイトを閲覧することはできませんでした。

いつの間にかサイトのURLが『h**ps://torontocondovalue.com/』に変わっていました。
きっと自動転送が組み込まれていたのでしょう。

末尾に『Cloudflare』と書かれているので、このエラーはインターネットセキュリティサービスの
Cloudflare社が出しているメッセージです。

どうやらリンク先の詐欺サイトは、このインターネットセキュリティサービス側で遮断されたようです。


まとめ

リンク先は、遮断されたようでとりあえずは一安心。
でも、詐欺グループはそんな甘いものじゃありません!
きっと別のドメインと別のホスティングサービスを使い新たな詐欺サイトを構築するでしょうね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了