『詐欺メール』『＜重要＞クレジットカード口座の使用は停止になります!!!』と、来た件

★フィッシング詐欺解体新書★

『予約した請求書の住所情報が期限切れ』？？

あまりクレカ持たない主義なんでごめんなさいね。
またしても所持していないカード会社からカードの停止案内が届きました。

今度は『ビューカード』さんです。
こんなにこのようなメール来るのって、自分だけなのでしょうか？
余りに多すぎて最近不安で…(;^_^A

『ビューカード』と言えば、JR東日本のクレジットカードブランドです。
所持していないそのようなカード会社が私のメールアドレスを知っているってどうしてでしょうか？
先にそれが知りたいです。

おかしいですね…この冒頭の『弊社に予約した請求書の住所情報が期限切れです』
予約した請求書って、請求書なんて予約するもの？
それに住所が期限切れって、初めて聞きました。(笑)
このようにおかしな日本語を駆使しているので、差出人は恐らく国外の方です。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『＜重要＞クレジットカード口座の使用は停止になります!!!』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
『重要』と書けば見ると思っているのでしょうか。
『!!!』なんてビックリマークを三連荘するとかえって怪しまれますよ！(笑!!!)

差出人は
『”Viewcard” <viewsnet-card@amandabeardart.com>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ビューカードさんの公式なドメインは、公式サイトのURLから恐らく”jreast.co.jp”かと思われます。
間違っても”amandabeardart.com”なんて全く関連性の無いドメインではありません。

香港のメールサーバーを利用

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

この差出人は、ビューカードのドメインではないメールアドレスでこのメールを送ってきているので
特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”amandabeardart.com”が差出人本人のものなのかどうかを
調べてみます。

これが中国河北省で管理されているこのドメイン”amandabeardart.com”の登録情報です。
これによると”101.36.125.250”がこのドメインを割当てているIPアドレス。
ビューカード関係者ではないものの”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスは
差出人ご本人さんのもので間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”101.36.125.250”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『Ucloud Information Technology (Hk) Limited』と言う香港のプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上で
ご覧ください。

代表地点としてピンが立てられたのも『香港』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

支離滅裂

では引き続き本文。

なんかいい加減ですね、『問い合』じゃ送り仮名が不足して言葉が成立していません。
それにこのメール、住所情報を更新を促すメールだったはずが『本メールは、お届けのメールアドレスへ
お取引の受付をご連絡するものです』って・・・
本家のメールからコピペするからこういう支離滅裂なことになるんです。(-_-;)

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『確認』と『問い合』の2箇所に付けられていて、リンク先の『Nortonセーフウェブレポート』
での判定はこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”www.karaogluturizm.com”
このドメインにまつわる情報を取得してみます。

またしても中国河北省で管理されているこのドメインを割当てているIPアドレスは”192.161.51.233”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスはアメリカの『QuadraNet Enterprises LLC』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのはロサンゼルス』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

『このサイトにアクセスできません』と書いてあるので、どうやらページが見つからないようです。
詐欺犯は、既に目的を達成したのか、それとも当局の手が回るのを恐れたのでしょうか詐欺サイトは
もぬけの殻でした。

まとめ

実にたくさんのクレジットカードが有るもので、様々なカード会社を騙って毎日複数の詐欺メールが
大量に届く毎日。
もうクレカ会社からのメールは全て詐欺メールだと思っても間違いは無さそうな世の中ですね。(-_-;)

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;