『詐欺メール』『【 重要 】りそな銀行における一時的なご利用制限のお知らせ』と、来た件

迷惑メール
この記事は約8分で読めます。

不正ログインをネタに詐欺サイトへ引きずり込む
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

あちこちが公式ドメインじゃない

いつもご覧くださりありがとうございます!

DLsiteの詐欺メールを書いている最中に『りそな銀行』を名乗るこのようなメールが届きました。

もう一目でりそな銀行からではないことが分かりますね。
だって差出人のメールドレスがりそな銀行のものではないし、リンクのURLで使われているドメインも
りそな銀行のものではありませんからね!

このメールは、第三者の不正利用をネタにリンクに誘い込み個人情報と口座情報を盗み出し詐欺を行うことを
目的に作成されたフィッシング詐欺メールです。
それにしても不正ログインの危険性があるのにどうして本人確認するだけで制限を解除しちゃうんでしょうね?

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。

件名は『【 重要 】りそな銀行における一時的なご利用制限のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

差出人は
『り そ な 銀 行 <no-reply@clg515.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

どうして差出人名の文字一つ一つの間に半角スペースを入れているのでしょうね?
ホント詐欺師の気持ちはさっぱり分かりません…

いつものくだりになりますが、りそな銀行のオフィシャルサイトでURLを確認すると
公式ドメインは”resonabank.co.jp”です。
信用第一の金融機関が、自社ドメインが有るにも関わらず数字を使ったような怪しいドメインの
メールアドレスで口座開設者にメールを送るなんて言語道断です。

日本武道館に程近から発信

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『Received: from unknown (HELO mail5.clg515.com) (134.122.199.126)』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、”Received”にあったドメイン”mail5.clg515.com”が差出人本人のものなのかどうかを
Grupo』さんで調べてみます。

これがドメイン”mail5.clg515.com”の登録情報です。
これによると”134.122.199.126”がこのドメインを割当てているIPアドレス。
このメールはもちろんりそな銀行からのものではないものの”Received”のIPアドレスと全く同じ数字なので
このメールアドレスは差出人ご本人さんのもので間違いなさそうです。

Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで
確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、日本武道館に程近い東京都千代田区九段南付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーは、香港に拠点を置く『CTG Server Limited』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。

詐欺サイトは接続制限済み

では引き続き本文。

いつもりそな銀行をご利用いただきありがとうございます。

他国の誰かがあなたのアカウントにログインして資金を盗もうとする試みを検出したため、あなたのアカウントは一時的に制限されています。

ログイン日時: 2024年5月28日 23:49
IPアドレス: 193.200.149.36
ブラウザのバージョン:
Mozilla/5.0 (Linux; Android11;2201117TL)AppleWebKit/537.36(KHTML, like Gecko)
Chrome/109.0.0.0 Mobile Safari/537.36

お客さまにはお手数をおかけいたしますが、何卒ご理解とご協力をお願い申しあげます。本人確認後、制限を解除することができます

▼本人確認をご希望の方は、以下のボタンをクリックしてご本人様確認を行ってください。
h**ps://dianshangpz.com/cowper.php

※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。
※一定期間ご確認いただけない場合、口座取引を制限させていただきます。

※直リンク防止のためURLの一部の文字を変更しています。

ここに書かれているIPアドレス”193.200.149.36”はもちろんでたらめでしょうけど一応調べると
その割り当て地域は香港でした。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクはご覧の通り本文内にこれまたりそな銀行の公式ドメインではないドメインでURLが
記載されています。
でも接続すると直ぐにリダイレクト(自動転送)されて別のサイトに飛ばされました。
そのリダイレクト先をセキュリティブランドのトレンドマイクロの『サイトセーフティーセンター』で
危険度評価を確認すると…。

『未評価』ってことは、まだ新しくて評価対象にされていないってことかな?

このURLで使われているドメインは”setnolimit.com
このドメインにまつわる情報を『Grupo』さんで取得してみます。

このドメインは愛媛の方が申請登録されていますね。
最近このパターン多いような気がしますけど…
割当てているIPアドレスは”193.32.150.111
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、大阪市の大阪市役所付近。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスは、オーストラリアに拠点を置く『xTom Pty Ltd』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

リンク先を確認してみると『403 Forbidden』というエラーページが開きました。
これは閲覧禁止を示すエラーメッセージで、接続側のアクセス権限が削除または制限されているようで
恐らくホスティング側が危険を察知して接続できないように措置を施したものと思われます。

まとめ

取敢えずこのURLでの活動はできなくなりましたが、安心することなかれ。
奴らは無限にサーバーを持っているので神出鬼没でそこでまた活動を再開するか分かりませんよ!

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました