心当たりのないカード利用いつもご覧くださりありがとうございます!
今回は、丸井グループの『エポスカード』から届いた利用通知を騙ったフィッシング詐欺メールの
ご紹介となります。 特にこの『エポスカード』の会員様はご熟読いただき、日々の詐欺対策にお役立てくださればと思います。
その詐欺メールがこちらです。
 利用日時が2月26日の10時過ぎと記載されているので、昨日の出来事のようです。
利用場所が『国内加盟店ショッピング(通販·ネットショッピングなどでのご利用)』ってなんともアバウト。
そして利用金額が『71,430円』とのこと。
まあ偽メールなのでどなたが受け取っても心当たりなんてあるはずがありませんから、利用明細の確認へと
ついつい進んでしまいそうですが、それが奴ら詐欺師の手口です。
因みに私は、こちらの『エポスカード』持っていません・・・ では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『[spam] 【エポスカード】お客様のカードご利用明細の内容をお知らせいたします。』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”エポスカード” <info@01epos.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 エポスカードのオフィシャルサイトのURLで確認すれば一目で分かると思いますが
エポスカードさんの公式ドメインは”eposcard.co.jp”で”01epos.jp”ではありません。
但し調べてみるとこのドメインもエポスカードさんの持ち物でした。
発信元は中国では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from mail0.vg0k.icu (unknown [117.50.174.145])』 |
ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーの情報。
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”01epos.jp”が差出人本人のものなのかどうかを
調べてみます。
 これがドメイン”01epos.jp”を割当てているIPアドレスの情報です。
これによると”61.204.227.145”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”117.50.174.145”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”01epos.jp”ではありません。
これでアドレスの偽装は確定です! ”Received”に記載されているIPアドレス”117.50.174.145”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 地図に立てられたピンの位置は、詐欺メールのメッカで中国の『天安門広場』東側。
送信に利用されたのは、『Ucloud』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。 これによるとホスト名欄にあるようにどうやら”paigai.cn”なんてドメインがこのIPアドレスには割当て
られているようです。
ちらっと持ち主だけ見ておきましょう!
 『〇建国』って、ぼかしてありますが結構仰々しいお名前の方が申請されているようです。
偽サイトはロスで現在も稼働中では引き続き本文。 | このたびはエポスカードをご利用いただき、誠にありがとうございます。 下記のご利用照会がございましたので、お知らせいたします。
ご利用日時: 2024-02-26 10:02:24
ご利用場所: 国内加盟店ショッピング(通販·ネットショッピングなどでのご利用)
ご利用金額:71,430円 ご利用の覚えがない場合は、下記よりご本人様のカードの
ご利用内容についてのご確認をお願いいたします。
カードのご利用確認のお知らせについてはこちら ご回答をいただけない場合、カードのご利用が制限されることがありますので、ご了承ください。 *1.本サービスは、お客様のエポスカードのご利用照会が行われた場合、
エポスNETにご登録いただいているメールアドレスへお知らせするサービスです。
*2.ご契約キャンセルとなった場合のお取消し情報は配信されません。
*3.エポスVisaプリペイドカード及びエポスバーチャルカード。 |
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『カードのご利用確認のお知らせについてはこちら』って書かれたところに付けられていて
リンク先はGoogleの『透明性レポート』のサイトステータスはこのようにレポートされていました。
 既にフィッシングサイトとしてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは”outside.wudkiudahx.com”ってどこにもエポスカードを感じられない
ドメインとなっています。
では、このドメインにまつわる情報を取得してみます。
 中国黒竜江省の方が申請したとされるこのドメインを割当てているIPアドレスは”155.94.235.243”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 地図に立てられたピンの位置は、こちらも詐欺サイトのメッカで知られるロサンゼルス近郊。
利用されているホスティングサービスもロス最大級の『QuadraNet Enterprises LLC』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
 本物そっくりのログインページですが、アドレスバーに『危険』と書かれていて周知されているようですね。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめこのメールはとても危険ですね。
実際に免疫のない方宛にこのようなメールが唐突に送られてきたとしたらコロっと騙されてしまいそうです。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
