サイトアイコン HEARTLAND

『詐欺メール』PayPayから『【重要】Visaデビットカード番号制限のお知らせ』と、来た件

中国ドメインにご注意を
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

そんなデビットカード持っていませんが…

『PayPay銀行』から中国ドメインのを利用したこのようなメールが到着しました。

何の用事かなと思って開けてみると『Visaデビットのカード情報が漏洩した可能性がある』とのこと。
私、このメールアドレスでYahooに登録していないし、更に言うとそんなデビットカード持ってないのに…

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『【重要】Visaデビットカード番号制限のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

差出人は
『<PayPay銀行> <japannetbank1@wcxlocg.cn>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

先に書いた通り”.cn”は中国の国別ドメイン。
そんな怪しいドメインをPayPayが利用するでしょうか?(;^_^A


ロシアより愛を込めて

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from unknown (HELO wcxlocg.cn) (95.215.108.68)』

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
記載されている末尾の数字”95.215.108.68”は、そのサーバーのIPアドレスになり、これを紐解けば
差出人の素性が見えてきます。
このIPアドレスを元に送信に使われたホスト情報とその割り当て地を確認してみます。

送信に利用されたのは、『Global Internet Solutions LLC』と言うロシアのプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、こちらもロシアの『サンクトペテルブルク』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。


本物そっくりのページが!?

では引き続き本文。

いつもPayPay銀行をご利用いただき、ありがとうございます。

過去にお客さまが利用したショップやフィッシングサイト、なりすましメールなどからお客さまのVisaデビットのカード情報が漏洩した可能性があると判断しました。
つきましては、第三者による不正利用防止のため、以下のカード番号のWebでのご利用(ネットでのお支払い)を停止させていただきました。

カード番号:46**************(キャッシュカード一体型)
※セキュリティ観点により、停止理由について上記以上の詳細はお答えできません。
※キャッシュカード紛失のご連絡をいただいたお客さまも、セキュリティ観点により停止させていただいております。
※キャッシュカードによる入出金を含む普通預金口座でのお取引は引き続きご利用いただけます(キャッシュカード紛失の場合を除く)。

ログイン後、「Visaデビット」>「ご利用明細一覧」よりVisaデビットご利用明細をご確認のうえ、万一、お心当たりのないお取引がございましたら、すみやかに当社までご連絡をお願いします。
なお不正利用の場合に補償されるのは、お客さまが当社へ連絡された日からさかのぼって30日前までのお取引となります。
あらかじめご了承ください。
今後のVisaデビットご利用につきましては以下をご確認ください。

▽規制解除するには下記へアクセスし、お手続きしてください。
h**ps://yaetwa.cn?token=a9e081eaa8131072c436cfa057235e59a3ef67a37e611d1c71592a6bec9e1c17&e=eW1nQHltZzcubmV0

お客さまに安心してご利用いただくためのご案内です。
何とぞ、ご理解、ご協力のほど、お願い申し上げます。

カード番号を書かれようが何しようが、私はこのカードを持っていないので何とも手の施しようが
ありません。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられていますが、接続されるURLと
トレンドマイクロの『サイトセーフティーセンター』での危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”yaetwa.cn”とまたしても中国ドメインです。
このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは”174.137.55.138
このIPアドレスを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。

サイト運営に利用されているホストは、カナダの『IT7 Networks Inc』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、アメリカの『フリーモント』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
情報を入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
更には次の画面でカードの情報まで詐取されることでしょう。


まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

モバイルバージョンを終了