『詐欺メール』三菱デビットから『安全な取引を守るための一時的措置』と、来た件

★フィッシング詐欺解体新書★

ありもしない不正利用を騙る詐欺

いつもご覧くださりありがとうございます！

ここ数日、三菱UFJ銀行のデビットカードに関する詐欺メールが増えております。
私の受信箱にも複数通のメールが確認されたのでその代表的なものを今回はご紹介していこうと思います。

なんだか難しいことが書いてありますが、簡単に要約すると不正利用の疑いでカードの利用が一時停止されているのでリンクから利用内容を確認して一時停止の解除を申請しろというもの。
偽サイトにログインさせるふりをしてそのアカウントの情報を盗み出し口座操作して詐欺を行うものです。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”cbel.com”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにが『三菱UFJ銀行』利用するメールアドレスのドメインを『Search Labs | AI 』で検索してみると
『@bk.mufg.jp』と出ました。
故にこのドメイン以外のメールアドレスで届いた『三菱UFJ銀行』のメールは全て偽物と言うことになります。

メールのヘッダー情報からこのドメインの持ち主について調べると、このドメイン”cbel.com”は偽装されていることが分かりました。
またヘッダーにある送信者のIPアドレスからそのロケーションはブラジルのサンパウロであることも確認されました。

詐欺サイトは南米の国ウルグアイに設置されていた

さて、本文に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://debit.cr.mufg.jp/p/login/CS8df8sU?cc=7RpvDO】
(直リンク防止のため一部の文字を変更してあります)

『mufg.jp』とここには三菱UFJ銀行のドメインが使われているようにも見えますが、もちろんこれはリンク偽装で、開いてみるとこのURLとは別サイトに接続されるよう仕組まれています。
で、実際のリンク先のURLは以下の通りです。
【h**ps://debit.cr.mufg.debitcrmufg.net.pl/?cc=CS8df8sU7RpvDO.jp】

使われているドメインは”debit.cr.mufg.debitcrmufg.net.pl”でこの”.pl”はポーランドに与えられた国別ドメイン。
このドメインを割当てているIPアドレスからそのロケーション地域を調べると、なんとその地は南米の国ウルグアイの首都モンテビデオであることが分かりました。

リンク先は、既に危険なサイトとして周知されているようで、接続すると直ぐにGoogleからブロックされました。
ブロックを解除して詐欺サイトを訪れてみましたが、既に接続できな状態でした。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;