三井住友カードではないメールアドレス
本文の宛名がメールアドレスで書かれているメールが、三井住友カードから送られてきました。
カード口座にいくつかの異常が見つかったとのこと。
問題を解決するためにリンクにログインするように書かれています。
発生している問題点が箇条書きに書かれています。
- 短期間で多くの小額取引が発生していること
- 口座の資金が頻繁に変動し、金額の変動が大きいこと
- 口座へのログイン場所が異常で、通常のログイン場所と大きく異なること
何と言われましても、私は三井住友銀行に口座なんて無いので関係ありません。(笑)
最後の方の『この間、ご迷惑をおかけしますがご容赦ください。』と書かれた次の行
48時間と記載されたあたりに何か数字が重なってダブって見えています。
何が書かれているのかと思ってHTML形式のメールをTEXT形式に切り替えてみると
『2023/8/8』って日付が重なっていました。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は『[spam] SMBCカードアカウントの再認証が必要です』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『"三井住友カード" <axqj@service.ril167.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
三井住友カードの公式サイトでURLを確認すれば分かりますが、こちらの公式なドメインは”smbc-card.com”で
間違ってもこのような数字が使われたアメリカドメインではありません。(笑)
このメールアドレスから見てもこのメールは明らかに三井住友カードからではないので
特定電子メール法違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
このIPアドレスはサイバーアタックの攻撃元
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『from service.ril167.com (unknown [107.173.111.142])』 |
”Received”は、差出人が利用したメールサーバーが自動で刻み込む情報です。
この情報を読み解くことで差出人の素性を垣間見ることができます。
では、この”service.ril167.com”と言うドメインに付いて少し調べてみます。
これがこのドメインの登録情報。
『Registrant State/Province: TOKYO』と記載があるのでこのドメインは東京で管理されているようです。
そして”107.173.111.142”がこのドメインを割当てているIPアドレス。
このIPアドレスを元に危険性や送信に使われたホスト情報とその割り当て地を確認してみます。
このIPアドレスを元に割り出した危険度は『脅威レベル:高』
その詳細は『サイバーアタックの攻撃元』表示とされています。
送信に利用されたのは、『ColoCrossing』と言うニューヨーク州 バッファローの電気通信事業者が
営むプロバイダーです。
位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、カリフォルニア州の『サンノゼ』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
詐欺サイトは大阪市で運営中
では引き続き本文。
| こんにちは。こちらは三井住友カードのカスタマーサポート部です。まず、これまでのご支持と信頼に感謝申し上げます。残念ながら、最近のシステムチェックでお客様のカード口座にいくつかの異常が見つかりました。お客様の資金の安全を確保するため、この問題を解決するためのメールをお送りすることにしました。
問題の詳細:
- 短期間で多くの小額取引が発生していること
- 口座の資金が頻繁に変動し、金額の変動が大きいこと
- 口座へのログイン場所が異常で、通常のログイン場所と大きく異なること
解決策:
- お客様には、今すぐ三井住友銀行にログインしていただくようお願いいたします
- インターネットバンキングやモバイルバンキングのパスワードを定期的に変更して、アカウントの安全性を向上させることをお勧めします。
三井住友カード株式会社 カスタマーサービス部
2023/8/8
この間、ご迷惑をおかけしますがご容赦ください。
※変更後、48時間以内に発効する必要があり、期間中は使用できません。
※カードの個人情報によっては電話で連絡する場合もございます。
※正確な情報は必ず記入してください。 |
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『Vpassログイン』って書かれた間延びしたボタンに付けられていて
リンク先のNorton『Safe Web』での危険度評価がこちらです。
既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。
このURLで使われているドメインは、サブドメインを含め”iphone.stickeronlines.com”
このドメインにまつわる情報を取得してみます。
このドメインは中国の湖北省の方が管理しているようです。
割当てているIPアドレスは”34.97.13.34”
このIPアドレスを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。
サイト運営に利用されているホストは『Google LLC』
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは『大阪市北区中之島』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
リンク先サイトを確認してみましたが『localhost で接続が拒否されました。』と表示されて
接続はできませんでした。
これはAmazonを騙る詐欺メールでよく使われている手段で、タブレットやスマホからの接続とPCからの
接続を区別しているようで、PCからの接続を何故か拒否しているようです。
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |