三井住友が中国のドメインで いつもご覧くださりありがとうございます! 皆さんの所にも届いているでしょうか?
このように私とは全然違う宛先なのにどうして私に届いたのか分からない、三井住友カードを騙ったフィッシング詐欺メール。
 この先も『よくあるご質問』がダラダラ」書かれていますが省略させていただきました。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] 【三井住友カード】お客様のカードご利用明細の内容をお知らせいたします。』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は『”三井住友カード” <admin@wuhuo.com.cn>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 ここを見る限り100%このメールは三井住友カードからのメールではありませんね。
三井住友カードのオフィシャルサイトにあるQ&Aにはこのようなページがあります。
『メール受信許可設定をしたいのですが、ドメイン名を教えてください』
これによると三井住友カードが扱うドメインは以下の通りだと記載されています。 ■prepaid.smbc-card.com
■contact.vpass.ne.jp
■vpass.ne.jp
■mail.vpass.ne.jp
■smbc-card.com
■smbcgroup-point.jp
■otp-auth.net | 今回のメールは、これ以外の”wuhuo.com.cn”なんてドメインですからね!
日本武道館付近から送信 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from wuhuo.com.cn (unknown [185.141.219.238])』 | ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。 ”Received”に記載されているIPアドレス”185.141.219.238”は、差出人が利用したメールサーバーの情報でこれを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。
 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、日本武道館に程近い東京都の九段南付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーはロシアに拠点を置く『Baxet-Group-Inc』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバーを介して届けられたようです。
詐欺サイトは米国のフリーモント付近で稼働中 では引き続き本文。 | mao.6026 様 不正利用の可能性があるため、カードの利用を一部制限しました。ご本人さまの利用であるかを回答ください。 利用内容
利用カード 三井住友ゴールドVISA(NL)
利用日時 2024-08-2017:12:54
利用先 スカイマーク
利用金額 156660円 ご本人さまの利用の場合
利用制限を解除します。 上記利用内容の決済は完了していません。
利用制限解除後に再決済が必要です。 利用に覚えがない場合
カードの停止(無効化)・再発行手続きへ進みます。 利用内容確認の回答はこちら (所要時間:30秒) | このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『利用内容確認の回答はこちら (所要時間:30秒)』って書かれたところに付けられていて、そのリンク先をコンピュータセキュリティブランドのトレンドマイクロの『サイトセーフティーセンター』で検索するとその危険度はこのように評価されていました。
 既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”servers.thltf.com”
このドメインにまつわる情報を『aWebAnalysis』さんで取得してみます。
 このドメインを割当てているIPアドレスは”45.156.24.179”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を再び『IP調査兵団』さんで確認してみます。  (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
代表地点として地図に立てられたピンの位置は、米国のフリーモント付近。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスは『Cgi Global Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
 本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで詐取されることでしょう。
『新着情報』にシステムメンテナンスが8月22日に予定されていると記載されています。
今日が8月21日、今日の明日であまりに怪しいなと思い公式サイトのログインページを確認したらそんなメンテナンスの情報記載はありませんでした。(;^_^A
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
| 