『詐欺メール』続『【重要】イオンカードからの重要なセキュリティ更新』と、来た件

★フィッシング詐欺解体新書★

幽霊企業から届いたメール

イオンカードユーザーってどんだけ狙われているの？
これ昨夜から今朝にかけて届いたイオンカードを騙ったフィッシング詐欺メールの一覧。

比例してAmazonの詐欺メールが減っているようなので、同じ犯人が標的をイオンに絞っている感じですね。

この中から今回はこちらのメールにスポットを当ててご紹介していこうと思います。
ご興味がありお時間が許す方は是非最後までお読みくださると幸いです。

これと同じ件名のメールは昨日1つ解説あります。

『詐欺メール』『【重要】イオンカードからの重要なセキュリティ更新』と、来た件

相変わらずウーバーイーツのドメインで ※ご注意ください！ このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし 悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。 このようなメールを受け取っても絶対...

ymg.nagoya

でも今回は、件名は同じながらそれとは本文の内容が異なるので改めてタイトルに『続』を付け
解説していこうと思います。

このメールの書き出しにある『i』ってどんな意味があるのかご存じでしょうか？
もしかして『拝啓』って感じ？(笑)
それに末尾にある『追加情報』と書かれて所にある『それに関する詳細が以下に記載されます』の
『以下』ってどこにあるの？(;^_^A

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 【重要】イオンカードからの重要なセキュリティ更新』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”イオンクレジットサービス株式会社” <support@utyyrx.cn>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

おっと、ちょっと待ってくださいよ！
この『イオンクレジットサービス株式会社』って企業、確か2023年6月1日に完全親会社の
イオンフィナンシャルサービスに吸収合併されて解散したはずですよ。
『ウィキペディア』にもそう書いてありますが…
もしかしてこのメール、幽霊企業が出したの？( ;∀;)

昨日のはドメインが”uber.com”とウーバーイーツのドメインが使われていましたが
今回はあからさまに”.cn”と、中国のドメインが使われています。
イオンカードの公式ドメインは”aeon.co.jp”ですがどうしてそれとは異なるのでしょう？
もしかしていつも間にかイオンも中国の企業傘下に納まってしまったのでしょうか？(;^_^A
そんなわけありませんよね！
ここを見ただけでもこのメールはイオンカードからのものではないことに分かります。

中国上海のメールサーバーを経由

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

では、メールアドレスにあったドメイン”utyyrx.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”utyyrx.cn”の登録情報です。
このドメインは、詐欺メールのドメイン調査でよく見掛ける中国の方が申請されています。
これによると”106.75.189.232”がこのドメインを割当てているIPアドレス。
もちろんこのメールはイオンカードからではないものの”Received”のIPアドレスと全く同じ数字なので
このメールアドレスは差出人ご本人さんのもので間違いなさそうです。

”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

地図に立てられたピンの位置は、中国上海にある『Yangpu (楊浦区)』付近。
送信に利用されたのは、中国の『Ucloud』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは稼働中ながらChromeはブロック

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『アカウントのご利用確認のお知らせについてはこちら』って書かれたところに
付けられていて、そのリンク先はGoogleの『透明性レポート』のサイトステータスは
このようにレポートされていました。

既にしっかりフィッシングサイトとしてブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”aern-ne-jp.fffaac.cn”
このドメインにまつわる情報を取得してみます。

申請者は先ほどのメールのドメインと同一人物です。
そしてこのドメインを割当てているIPアドレスは”104.21.68.67”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

地図に立てられたピンの位置は、近年詐欺サイト設置場所のトレンドである『トロント市庁舎』付近。
でもって利用されているホスティングサービスは『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

Chrome環境で接続したらブロックされたので、Googleでも危険なサイトとして登録済みのようです。

構わず先に進めば、見慣れたイオンカードのログインページが表示されました。

見慣れたと書いたのは、詐欺サイトとっして見慣れたということですが…(笑)

ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

とにかくイオンカードを騙った詐欺メールが最近ものすごく多くあります。
特にイオンカードをお持ちのユーザーさんは特にご注意ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;