金融機関の数だけ使える便利なテンプレート
昨日の『りそな』に続きまたこれ…
『りそな』『西日本シティ銀行』『大和ネクスト』『auじぶん銀行』『ソニー銀行』と
金融機関の数だけ使える便利なテンプレートを利用した詐欺メール。
以前にもこの『三井住友信託銀行』を騙ったものをご紹介したと思いますが、それとは件名が違うので
改めてご紹介することにいたします。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は『[spam] 【重要・緊急】お取引を規制いたしました』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『"三井住友信託銀行" <info@smtb.jp>』
”smtb.jp”とドメインが三井住友信託銀行の公式なものが使われていますが
ま、こんな部分は小学生でも書き換えられる部分なので全然あてにはできません。
皆さんもくれぐれも騙されないように!
アメリカンサーバー発信
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『from tcbgksy (unknown [210.152.2.71])』 |
この”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”smtb.jp”が差出人本人のものなのかどうかを
調べてみます。
これがドメイン”smtb.jp”を割り当てているIPアドレスの情報です。
これによると”23.58.85.135”がこのドメインを割当てているIPアドレス。
本来この4つの数字は”Received”のIPアドレスと同じ数字になるはずですが、比較すると全く異なるので
このメールのドメインは”smtb.jp”ではありません。
これでアドレスの偽装は確定です!
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に送信に使われたホスト情報とその割り当て地を確認してみます。
網目のように整備された街の地図ですね。
送信に利用されたのは、アメリカの『Akamai International B.V.』と言うプロバイダーです。
位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、アメリカコロラド州『Englewood(エングルウッド)』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
三度リダイレクトされた
では引き続き本文。
| 三井住友信託銀行からのお知らせ
三井住友信託銀行をご利用いただき、誠にありがとうございます。
お客さまのお取引を規制させていただきましたので、お知らせします。
規制内容は下記をご確認ください。
取引規制日時:2023/07/25
取引規制内容
・出金規制
・入金規制
規制解除するには下記へアクセスし、お手続きしてください。
規制解除
※取引制限について 2023/07/25 までにご回答いただけない場合、
お客様のご回答に著しい不足がある場合、 もしくは
ご回答から当社規約第8条(禁止事項)に抵触すると判断した場合、
やむを得ず、お客様の口座を解約させていただくことがございますので、あらかじめご了承ください。 |
この本文は今までに何度もご紹介しているので詳しく説明するのはやめておきます。
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『規制解除』って書かれたところに付けられていて、クリックしてみると
以下のURLに3度リダイレクト(自動転送)されました。
h**ps://berleyoei.life/pounkin77.php
h**ps://evelando.cyou/pounkin77.php
h**ps://berichlife.com/
(直リンクを避けるためURLの一部文字を変更してあります)
最終的に接続されたURLのトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。
このURLで使われているドメインは”berichlife.com”
このドメインにまつわる情報を取得してみます。
このドメインは、アメリカの『Dynadot』と言うレジストラで管理されています。
割当てているIPアドレスは”45.192.178.147”
このIPアドレスを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。
サイト運営に利用されているホストは『Shanghai Ruisu Network Technology(上海鋭速電脳科技有限公司)』
と言う中国上海のプロバイダー。
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは『香港』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
本物そっくりのログインページが開きました。
ここに口座情報とパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れ
詐欺に遭うことになりますのでご用心。
まとめ
このテンプレートが最近詐欺メールのトレンドです。
金融機関なんて星の数ほどありますから要注意ですね!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |