『詐欺メール』イオンクレジットサービスから『セキュリティ緊急通知：アカウントの不正利用の可能性』と、来た件

heart

1年前

イオンカードを騙る詐欺メールにご注意を！

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

持っていないのにどうしてロックできるの？

持っていないはずのイオンカードに対してこのような不審なメールが届きました。

持っているはずがないカードに対してのアカウントロックなので、このメールは何らかの悪意のある
差出人からのもの。
だいたいカード会社なら持ち主の氏名を必ず知っているはずなのに宛名がメールアドレスって
あり得ません。
『突然のご連絡となりますが』と煽っておきながら『ご安心ください』と落してくるところは
ベテランの域に達していますね。(;^_^A

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] セキュリティ緊急通知：アカウントの不正利用の可能性』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”イオンクレジットサービス株式会社” <information@email.aeon.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

確かに”aeon.co.jp”は、イオングループの公式ドメインですが、このような悪意のあるメールと認められる
メールなので全く信用できません。
その辺りは次の項目で確認していくことにしましょう。

イオンとは異なるドメインが？！

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from haisofautienha5213.example.com (unknown [5.188.0.153])』

全然イオンには関係の無い”haisofautienha5213.example.com”なんてドメインが書かれていますね。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”5.188.0.153”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、ロシアのルクセンブルクにある『G-Core Labs S.A.』と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、アメリカの『シコーカス』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンク先はどこにつながる？

では引き続き本文。

いつもイオンマークのカードをご利用いただき、誠にありがとうございます。

さて、突然のご連絡となりますが、あなたのイオンスクエアIDが一時的にロックされていることをお知らせ申し上げます。このロックは、セキュリティの観点から行われたもので、あなたのアカウントを不正な利用から保護するための措置です。

このロックが発生する可能性のある状況には、以下のようなケースが含まれます：

パスワードが一定回数誤って入力された場合
ウェブ終端での高リスクな操作（例：電話番号の変更、個人情報の変更、追加の使用額申請など）
ご安心ください。このロックを解除するためには、以下の2つのオプションがございます：

ロック解除手続きを行う – ご自身のアカウントを安全にロック解除するための手続きを行うために、24時間以内にお時間を取っていただく必要があります。
新しいイオンスクエアIDを新規登録する – ロック解除が難しい場合、新しいIDを登録いただくことも可能です。
ロック解除または新規登録を行わない場合、あなたの日常的な利用に深刻な影響を及ぼす可能性がございますので、ご協力をお願い申し上げます。

手続きの詳細については、以下のリンクをご利用いただくか、当社のウェブサイトをご確認ください。

[ロック解除または新規登録手続きページへ]

※イオンマークのカード会員さまで、このお手続きに身に覚えのない場合は、至急イオンカードコールセンターへご連絡いただきますようお願いいたします。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ロック解除または新規登録手続きページへ』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”nail.idaeaston.com”

このドメインを割当てているIPアドレスの情報を取得してみます。

このドメインを割当てているIPアドレスは”104.21.26.212”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは『Cloudflare』

多いですね『トロント市庁舎』付近。
最近の半数以上の詐欺サイトがこの地で運営されています。

リンク先へつないでみましたが開いたのはイオンカードの公式サイト。
最近このパターンも多くなっています。
最初からイオンカードの公式サイトへつながるように仕組まれていたのか、それとも途中で何らかの
理由があり接続先を詐欺サイトからこちらに切り替えたのか。
今となっては知る由もありません。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)