『詐欺メール』『＜重要＞三井住友カードお客様情報の確認』と、来た件

★フィッシング詐欺解体新書★

これが本当なら管理不行き届きです

久しぶりに『三井住友カード』を装ったフィッシング詐欺メールのご紹介となります。

と言っても、本文に書かれているのは詐欺メールでは良く見掛けるもので、お客様情報が正しくないので
リンクから情報を更新するようにと促すものです。
もしこれが本当だとすると、会員登録時に入力した内容が何らかの原因で変更されたことになり
三井住友カード側の管理がずさんであったことをさらけ出しているようなものです。
中国の国別ドメインのメールアドレスでこんな無理やりのこじつけた理由を書きつけて何を信じろと
言うのでしょうか？

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] ＜重要＞三井住友カードお客様情報の確認』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”三井住友カード” <support@service.jixijijinapp.cn>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

『三井住友カード』さんのウェブサイトを確認すれば分かりますが、こちらの企業ドメインは
”smbc-card.com”で間違っても中国のドメインではありません！
金融機関やECサイトなどから届いたメールで、リンクへ誘導するものは必ず差出人の
メールアドレスにあるドメインを確認するようにしてください。

複数のドメインを使い分け？

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ん？…
なぜだか”service.10beipeizi.cn”なんてメールアドレスには無かったドメインが表示されていますね。
先にこのドメインに付いて調べてみます。

このドメインを割当てているIPアドレスと”Received”に記載のものと合致していますね。
管理者は、詐欺メール調査で良く見掛ける私には読めない漢字を含む氏名の方で
”Sponsoring Registrar”からすると恐らくは中国の方でしょう。

では次に、メールアドレスにあったドメイン”service.jixijijinapp.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”service.jixijijinapp.cn”の登録情報です。
こちらもIPアドレスは合致しました。
と言うことはこの管理人さん、どのような理由かわかりませんが、1つのIPアドレスに複数のドメインを
割当てて運用されているようです。

このドメインを割当てているIPアドレス”192.227.241.206”と”Received”に記載のIPアドレスは
完全に合致するので、偽物ではあるもののこのメールアドレスはご本人さんのもので間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

このIPアドレスを元に割り出した危険度は『脅威レベル：高』
その詳細は『サイバーアタックの攻撃元』表示とされています。

送信に利用されたのは、サイバー犯罪に使われることの多いと言われる『ColoCrossing』と言う
アメリカのプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、アメリカテキサス州『エル・パソ』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

スマホとPCを切り分け

では引き続き本文。

どことなく日本語がぎこちない気がしませんか？…

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、そのリンク先のURLとトレンドマイクロの
『サイトセーフティーセンター』での危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”accout.smba.jp.vega-geophysics.com”
このドメインにまつわる情報を取得してみます。

管理人は、中国の広東省の方のようですね。

このドメインを割当てているIPアドレスは”192.227.241.198”と、メールドメインで抽出したものと
告知していますので、同じプロバイダー内のものでしょう。
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

先程と違って、脅威のレベルは低いとされていますが、プロバイダーはやはり『ColoCrossing』で
地図上にピンが立てられたのも同じ『エル・パソ』ですね。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

『このサイトにアクセスできませんlocalhost で接続が拒否されました』と表示されました。
どうやらPCからの接続とスマホなどのデバイスからの接続が切り分けられているようで、PC環境からの
接続だと”localhost”に接続されるようです。

スマホの方が虚弱性が高いのでわざわざスマホ転送してまでは確認していませんが、スマホで接続すると
恐らくは本物そっくりのログインページが開き、IDとパスワードを入力してログインボタンを押して
しまうと、その情報が詐欺師に流れ、更にそれ以外にも個人情報を更新させると称しそれらの情報や
カードの情報まで詐取されることでしょう。

まとめ

とにかく金融機関やショッピングサイト、ETCやえきねっとなどからメールが届いた際は
必ず差出人のメールアドレスと、りんくさきURLに含まれるドメインを確認するように
心掛けることが大切です。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;