ハッキングをネタに最近多くなっているのがこの『西日本シティー銀行』を騙ったフィッシング詐欺メール。 今度は、ハッキングをネタにしてきましたよ!  信ぴょう性を高めるためか、ご丁寧にログイン日時と接続元のIPアドレスまで記載されています。 もちろんでたらめですけどね! では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきましょう。 件名は『[spam] 【重要】米国のハッカーがあなたのアカウント残高を盗もうとしています』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は 『”西日本シティ銀行” <info@ncbank.co.jp>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 ”ncbank.co.jp”は、間違いなく西日本シティ銀行さんの公式ドメインですが、ここは誰でも簡単に 書き換えられるフィールドなので宛てにはできませんし、件名の”[spam]”が示す通りこのメールには 悪意を感じられますから偽装の可能性大です!
イスタンブールから愛をこめてでは、このメールがフィッシング詐欺メールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 Received:『from ncbank.co.jp (unknown [134.195.99.178])』 |
先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”ncbank.co.jp”が差出人本人のものなのかどうかを 調べてみます。  これがドメイン”ncbank.co.jp”の登録情報です。 これによると”203.180.147.148”がこのドメインを割当てているIPアドレス。 本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので このメールのドメインは”ncbank.co.jp”ではありません。 これでアドレスの偽装は確定です! ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が 見えてきます。 このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。  送信に利用されたのは、『Baxet Group』と言うプロバイダーです。 位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを ご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、黒海とエーゲ海に挟まれた国トルコの『イスタンブール』付近。 このメールは、この付近に設置されたメールサーバーを介して私に届けられたようですが、果たして 西日本シティ銀行がこのような遠い国外にあるメールサーバーやプロバイダーを利用するでしょうか? 100%あり得ませんよね!
詐欺サイトは既に遮断では引き続き本文。 いつも西日本シティ銀行をご利用いただきありがとうございます。 当社のセキュリティ システムは、他国のハッカーによるお客様のアカウントにログインしてアカウント残高を盗もうとする試みを検出したため、経済的損失を防ぐためにお客様のアカウントを凍結しました。 ・ログイン日時: 2023/06/29—-22: 38 ・IPアドレス: 155.176.90.103—-IP は米国からのものです ・User Agent: Mozilla/5.0 (Linux; Android 11; 2201117TL) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Mobile Safari/537.36 アカウントの凍結を解除するには、下のボタンをクリックして公式 Web サイトにアクセスし、本人確認を行ってください。 ▶️本人確認 |
ここに書かれているIPアドレス。 もちろん適当に記載されたものだとは思いますが、調べてみると確かに今現在アメリカの インディアナポリスで使われているものでした。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクは『▶️本人確認』って書かれたところに付けられていて、 そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での 危険度評価がこちらです。  未調査なのか、それとも何らかの原因で危険性が薄れたのかわかりませんが、現在のところ『未評価』と されていますね。 このURLで使われているドメインは”www.nsuncbanki.ink” このドメインにまつわる情報を取得してみます。  このドメインを割当てているIPアドレスは”103.157.142.151” このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。 
利用されているウェブサーバーは、中国の『Anchnet Asia Limited』なんてホスティングサービス。 こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で ご覧ください。 地図上にピンが立てられたのは、詐欺サイトの国内最大のメッカ『JR神田駅』付近。 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 詐欺サイトに危険を承知で潜入してみることに。  『Error 522』と表示されました。 『Connection timed out』と記載されているので、規定時間内に接続できなかったようです。 それでトレンドマイクロの『サイトセーフティーセンター』での危険度評価が未評価だったんですね!
まとめ詐欺サイトは恐らくホスティングサービス側が危険を察知して接続できないように遮断したものだと 思われますので、このサーバーでこのURLでの今後の活動はできないでしょうね。 でも奴らはいくらでもサーバーやドメインを持っているので、ワープさせることはいとも簡単。 またいつどこで詐欺を行うか分かりませんので要注意です! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |