『詐欺メール』『お支払い金額のお知らせ – PayPayカード』と、来た件

迷惑メール

件名と本文で日付が違う
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

PayPayが中国のドメインでメールを?!

件名と本文に乖離があるPayPayからのメールが届きました。

まあ詐欺メールにケチ付けても仕方ないんですけどね。(笑)
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『2023年6月27日お支払い金額のお知らせ – PayPayカード』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
件名にいつもの”[spam]”とスタンプが無いですが、どう見てもこのメールは詐欺メールです。
ここには『2023年6月27日お支払い金額のお知らせ』と書いてありますが、本文には
『2023年6月28日お支払い金額のお知らせ』と支払日が1日ずれています。
こんなので信用しろと言う方がおかしいと思いますが…(;^_^A

差出人は
『PayPayカード <paypay@jx667.cn>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

PayPay、PayPayと書いてありますが、使われているのが中国の国別ドメインってのは
いかがなものかと。
本家のPayPayカードのサイトを確認すれば分かりますが、公式のドメインは”paypay-card.co.jp
公式ドメインがあるのに口座を持つユーザーに中国のドメインでメールなんて送るはずがありません。


出てくるのは中国ばかり

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from jx667.cn (unknown [106.75.34.151])』

では、メールアドレスにあったドメイン”jx667.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”jx667.cn”の登録情報です。
このドメインの管理者は、漢字2文字の方で恐らくは中国人。
これによると”106.75.34.151”がこのドメインを割当てているIPアドレス。
Received”のIPアドレスがと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうです。

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、中国の『Ucloud』と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、『中国 北京市 海淀区 』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。


『ブルックリン橋』のたもとが新たなアジトか

では引き続き本文。

PayPayカード

2023 年 6 月 28 日 お支払い金額のお知らせ

いつもPayPayカードをご利用いただきありがとうございます。
お支払い金額をご案内いたします。

※ 請求金額の確定前にキャンセルされたり、お支払いいただくことにより、請求金額が0円となった方にも、ご利用内容をご確認いただくためにお送りしております。

ご利用明細を確認する

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ご利用明細を確認する』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”paypay.gxyjzlw.com
このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは”104.21.64.144
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているウェブサーバーは、アメリカの『Cloudflare』なんてホスティングサービスのようです。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、ニューヨークの『ブルックリン橋』のたもと。
最近ここにピンが立てられることが多くなっていますが、この辺りに設置されたウェブサーバーに
リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

なにかのエラーでしょうか?
翻訳してみます。
『気の毒だと思う!このサイトは管理者によって停止されています。詳細については管理者にお問い合わせください。』
『管理者によって停止』とあるので、どうやらサイトは何らかの原因によりホスティングサービス側が接続を
遮断したようです。


まとめ

詐欺サイトは既に遮断されているようなので、このURLでの活動はできなくなっています。
でも、百戦錬磨の詐欺師のこと、すぐに鞍替えして新たなサイトを構築することでしょうね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました