『詐欺メール』『アカウントの異変が発生：ご確認とご協力をお願いいたします』と、来た件

heart

1年前

エポスカードを騙る詐欺メールにご注意を

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

件名は異なるものの本文が同じメール

所持していない『エポスカード』からメールが2通。

件名は全く異なるものの書いてある内容は全く同じでこのように書かれています。

上段のメールなら本文の内容との違和感はありませんが、後者の場合『セキュリティ対策マニュアル配布』
なんて全く関係の無い件名で本文と乖離しています。

では、上段の時系列が新しい方のメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] アカウントの異変が発生：ご確認とご協力をお願いいたします』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”エポスカード” <info@epos.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

使われているドメインは”epos.co.jp”とエポスカードらしいものですが、実はエポスカードのドメインは
公式サイトのURLで確認すれば分かりますが”eposcard.co.jp”です。
よってこのメールはエポスカードの関係者からではありません。

空きドメインじゃないか！

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received：『from clubbusiness76.com (unknown [107.174.236.53])』

あらら、”clubbusiness76.com”なんてエポスカードとは思えないおかしなドメインが
記載されていますね。
増々怪しくなってきました。

この”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”epos.co.jp”が差出人ご本人のものなのか
どうかを調べてみます。
このドメインを割り当てているIPアドレスと”Received”に記載のIPアドレスが合致すれば
この差出人は『エポスカード』の関係者でありこのメールは正規ルートから送られてきたものとなりますが
さて実際はどうなのでしょうか？

これがドメイン”epos.co.jp”の登録情報です。
『対応するIPアドレスがありません』と書かれていますので、現在このドメインはどのIPアドレスにも
割当てられていません。

もしやと思って『お名前.com』さんのお力をお借りしてこのドメインの空き情報を確認してみると。

やはりです！
”epos.co.jp”は現在誰も利用していない空きドメイン出ることが判明しました！
これでアドレスの偽装は確定です！

因みに”clubbusiness76.com”に付いて調べてみるとこのような結果が出ました。

このドメインは、中国の湖北省の方の元で管理されているようです。
割当てているのは”Received”に記載のあった”107.174.236.53”と合致しました。
これによりこの差出人のメールアドレスに使われているドメインは”epos.co.jp”ではなく
”clubbusiness76.com”であることが確認できました。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
記載されている末尾の数字”107.174.236.53”は、そのサーバーのIPアドレスになり
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われたホスト情報とその割り当て地を確認してみます。

送信に利用されたのは、『ColoCrossing』と言うアメリカのプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、アメリカの『ダラス』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

なぜかリンクは公式サイトへリダイレクト

では引き続き本文。

日頃よりエポスカードをご愛顧賜り誠にありがとうございます。

エポスNetでは、会員皆さまのカードご利用内容について、第三者による不正利用が発生していないかどうかのモニタリングを行っております。
本メールは、現在お客様がお持ちのクレジットカードのご利用内容について、第三者により不正利用された可能性が高いと、弊社の不正利用検知システムにより判断いたしましたので、緊急でお送りさせていただいております。
カードのご利用内容について、至急確認したいことがございますので、下記リンクをアクセスし、ご確認をいただきますようお願いいたします。

▼アカウントのご利用確認のお知らせについてはこちら

なお、ご契約のカードは、第三者による不正使用の可能性が高いため、既にカードのご利用を一旦停止する対応をとらせていただいております。
ご不便とご心配をお掛けしますが、何とぞご理解をいただきますようお願い申し上げます。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『アカウントのご利用確認のお知らせについてはこちら』って書かれたところに
付けられていて、そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

『未評価』ということですが、もしかして既にサイトは閉鎖されているのか接続できない状態なのかも
知れませんね。

このURLで使われているドメインは、サブドメインを含め”epos-co.anouk-pascale.com”
このドメインにまつわる情報を取得してみます。

またしても湖北省の方が管理していますね、恐らくは同一人物でしょう。

このドメインを割当てているIPアドレスは”45.152.84.149”
このIPアドレスを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。

サイト運営に利用されているホストは『Cgi Global Limited』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、アメリカの『フリーモント』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

リンク先のサイトへ接続してみたのですが、なぜかリダイレクト(自動転送)されて正規エポスカードの
公式サイトに接続されました。
犯人は、何らかの理由で公式サイトへ転送されるように組み替えたようです。

まとめ

リンクが公式サイトにリダイレクトされるからと言って安心はできません。
犯人はいつでもリンクを変更でき、いつまた詐欺サイトへのリンクに切り替えるか分かりませんよ！

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;