『詐欺メール』『【重要】「モバイルSuica」（JR東日本）ご利用の会員IDとサービスについて』と、来た件

★フィッシング詐欺解体新書★

味噌も糞も一緒にするな！

『モバイルsuica』を名乗る送信者から『セキュリティアップデートについてのご案内』と言うメールが
届きました。

このメール、不信な個所が何点もあるんです。
まず、私はJR東日本管轄の範囲に住んでおりませんし、車社会の地域に暮らしているので鉄道なんて
ほとんど利用しません。
なので『モバイルsuica』は持ち合わせておりません…
件名にも送信者名にもと『モバイルsuica』と記載されているのになぜメールアドレスのアカウント部分が
『eki-net(えきねっと)』なの？
それに問合せ先の電話番号も『電話帳ナビ』さんで調べるとこれ『えきねっとサポートセンター』の
電話番号ですよ！

いくら同じ経営母体がJR東日本だからと言って両社は別会社ですから味噌も糞も一緒にしちゃいけません！

更に件名には『ご利用の会員IDとサービスについて』と書いてありましたが、本文には
『セキュリティーアップデート』の案内が書かれていて、内容に乖離があります。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 【重要】「モバイルSuica」（JR東日本）ご利用の会員IDとサービスについて』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”モバイルSuica” <eki-net@czvzggs.cn>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

百歩譲って『モバイルsuica』と『えきねつと』が同じ経営母体だから混同するのは良いとしても
メールアドレスのドメインが”.cn”なんて中国の国別ドメインって言うのは見逃すことはできません！

相変わらず中国がらみ

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

これがドメイン”czvzggs.cn”の登録情報です。

登録者名には、明らかに中国の方のお名前が刻まれています。
これによると”27.150.183.165”がこのドメインを割当てているIPアドレス。
このメールは、明らかに『モバイルsuica』からのものではありませんが”Received”のIPアドレスと
全く同じ数字なのでこのメールアドレスはご本人さんのもので間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”27.150.183.165”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『Fuzhou』と言う中国のプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、中国・福建省の『Gaosha』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトまでもが『えきねっと』とは…

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に『モバイルsuica』さんの公式ドメインを使って書かれていますが、こんなのは偽装。
実際のリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”qatarpost-ep.top”

このドメインを割当てているIPアドレスの情報を取得してみます。

このドメインを割当てているIPアドレスは”172.67.137.132”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは『Cloudflare』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが建てられた地点は『トロント市庁舎』付近。
実は本日この地図を見るのは3回目！
この2つのブログの中に出てきた詐欺サイトの運営し引きと全く同じです。

『詐欺メール』イオンカードから『2段階認証の重要性とメリット：不正利用からの保護』と、来た件

リンクに誘い込もうとする詐欺メール ※ご注意ください！ このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし 悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。 このようなメールを受け取っても絶対に...

ymg.nagoya

『詐欺メール』『楽天銀行からのお知らせ[入金がありました]』と、来た件

楽天から入金のお知らせが？！ ※ご注意ください！ このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし 悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。 このようなメールを受け取っても絶対に本文中...

ymg.nagoya

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

おいおい、結局『えきねっと』かよ…(;^_^A
これじゃ誰も騙されんね！

まとめ

3連発で詐欺サイトの位置情報が『トロント市庁舎』でした。
ちょっと前までは『ロサンゼルス近郊』が詐欺サイトの集中地帯でしたが、こういったことも
時と共に変わっていくのですね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;