空きドメインを使ったメールアドレス いつもご覧くださりありがとうございます。
最近マスターカードを騙る悪質な詐欺メールが急増中です。
皆さん、マスターカードから皆さんに直接メールで連絡が来ることはありません。
もしこのようなメールを受け取った際は、相手にすることなくゴミ箱に直送してやってください。 さて今回もそのマスターカードを騙る詐欺メールのご紹介となります。
そのメールがこちら。
 このメールは、クレジットカードの不正利用が疑われるため現在利用制限中で、その利用内容を確認し
リンクから制限を解除するように促しています。 もう一目でそれと分かりますよね?!
そうです、差出人のメールアドレスがなぜだか中国の国別ドメインの”.cn”が使われていますよね。
もしこのメールが本当にマスターカードからのものだとしたら、中国ドメインのメールアドレスなんて
使うはずが無く、マスターカードの公式ドメイン”mastercard.co.jp”を使うはずです! では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『[spam] 【MasterCard】支払いにおける異常なリスク、確認手続き中です。』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”Mastercard” <support@service.fuxingupiao.cn>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 因みにこの”fuxingupiao.cn”ってドメインをドメインレジストラ『GoDaddy』さんで所得可能か
調べてみると、このように出ました。
 このドメイン、今すぐに取得できるようです。
ってことは、このドメインは現在誰も使っていない空きドメインで明らかな偽装です!
空きドメインじゃメールなんて送ることできないもんね(笑)
IPアドレスから所在地を割り出してみると では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from service.fuxingupiao.cn (unknown [23.94.203.29])』 | ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーの情報。
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 もうこのメールアドレスは偽装が確定しているので、ドメイン調査は行わず”Received”に記載されている
IPアドレス”23.94.203.29”から差出人が利用したメールサーバーの情報を導き出しその素性を確認して
みることにしましょう。
これを元に送信に使われた回線情報とその割り当て地を抽出してみます。
 地図に立てられたピンの位置は、アメリカのマリエッタ付近。
送信に利用されたのは、カナダに拠点を置く『HostPapa』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
リンクボタンに『続け』って書いてあるけど では引き続き本文。 | 不正利用の可能性があるため、カードの利用を一部制限しました。ご本人さまの利用であるかを回答ください。 利用内容 利用カード クレジットカード (Mastercard)
利用日時 3/5/2024
利用先 Mastercard加盟店
利用金額 1,255円(1,255.00JPY) ご本人さまの利用の場合 利用制限を解除します。ご注文を拒否するには、身元を確認してください: 利用内容確認の回答はこちら 𝗁𝗍𝗍𝗉𝗌://𝗐𝗐𝗐.𝗆𝖺𝗌𝗍𝖾𝗋𝖼𝖺𝗋𝖽.𝖼𝗈.𝗃𝗉/𝗃𝖺-𝗃𝗉/𝗆𝖾𝗋𝖼𝗁𝖺𝗇𝗍𝗌/𝗌𝖺𝖿𝖾𝗍𝗒.𝗁𝗍𝗆𝗅 お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。 | このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、マスターカードの公式ドメインを使ったものが本文内に直書きされていますが
当然これは偽装です。
実際のリンク先を『Nortonセーフウェブレポート』で調べるとこのようにレポートされていました。
 既にフィッシングサイトとしてしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”zgppch.com”と、これまたマスターカードを全く連想させるもの
ではありませんね。
このドメインにまつわる情報を取得してみます。 
残念ながらこのドメインの持ち主については詳しい情報を得ることはできませんでした。 このドメインを割当てているIPアドレスは”107.175.221.122”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 地図に立てられたピンの位置は、アメリカのワシントンに程近いAshburn(アッシュバーン)
利用されているホスティングサービスは、これまた『HostPapa』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。 するといつものように本物そっくりのコピーサイトが開きました。
 『保護の強化』と書かれたダイアログが表示され、直接クレジットカード情報を求めています。
もちろん偽サイトなのでこれらの情報は絶対に入力してはいけません!
それにしても『続け』ってのは何度見ても笑えますね!(笑)
まとめ 最初にも書きましたが、このところマスターカードを騙る詐欺メールが急増しています。
まず、マスターカードが皆さんのメールアドレスなんて知っているはずが無いのでメールが届くこと自体
おかしいことなのでよく考えた上で行動してください。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 