サイトアイコン HEARTLAND

『詐欺メール』『【三井住友】SMBCカードアカウントの再認証が必要です』と、大量に送られてきた件

 


★フィッシング詐欺解体新書★


スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

三井住友カードから一晩で178通のメールが?!

いつもご覧くださりありがとうございます!

昨夜19時に最後のメールチェックしてから今朝までの間にメールボックスが大変なことになっていました。
『【三井住友】SMBCカードアカウントの再認証が必要です』と言う件名のメールが何と178通!

なぜこんなに来ているのかと言うと、ドメイン(@以降)はうちの事務所のものの@より前のアカウント名がうちのサーバーからは発行されていない存在しないメールアドレス。
アカウントは存在しないがドメインが正しいので迷子メールとなってサーバーに残されていたものです。
そのアカウント名は”ariga”や”ryouta”や”komiyama”など苗字や名前などのありがちなものを片っ端から使って数打てば当たる方式で送ってきているようです。

メールの中身はこんな感じです。

件名:[spam] 【三井住友】SMBCカードアカウントの再認証が必要です_#58039
送信者:”自動メール送信” <no-reply@tkcreshop.com>いつも 三井住友銀行 をご利用いただきありがとうございます。
お客さまのWEBサイトのご利用につきまして、パスワード等の入力相違が続きましたので、
本日より当社サイトのご利用(WEB、スマートフォン 共通)を一時制限させていただきました。
お客さまにはお手数をおかけいたしますが、本人確認後、制限を解除することができますので、
何卒ご理解とご協力をお願い申しあげます。
本人確認をご希望の方は、以下をクリックしてご本人様確認を行ってください。

ご本人様の確認はこちらへ

※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。
※一定期間ご確認いただけない場合、口座取引を制限させていただきます。

—————————————————————–

株式会社三井住友銀行
金融機関コード:0009
登録金融機関:関東財務局長(登金)第54号
加入協会:日本証券業協会、一般社団法人金融先物取引業協会
Copyright Sumitomo Mitsui Banking Corporation.All Rights Reserved.

—————————————————————–

ちょうど1年前全く同じ内容のメールをご紹介していました。

『詐欺メール』『【三井住友】SMBCカードアカウントの再認証が必要です』と、来た件
差出人のメールアドレスとリンク先URLに注目※ご注意ください!このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。このようなメールを受け取っても絶対...

このブログエントリーから1年も経つので改めてサラッと確認してみることにしましょうか。


 

送信者のアドレスはウソ

この『パスワード等の入力相違が続きました』ってのは最近の詐欺メールの常套手段なので、このくだりを見たら詐欺メールと思って間違いありません。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメインは178通全て”tkcreshop.com
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
どうせこのメールアドレスもウソに決まってます!
三井住友カードによると送信に使うドメインがこの一覧だそうです。

  • vpass.ne.jp.
  • contact.vpass.ne.jp.
  • smbc-card.com.
  • smbcgroup-point.jp.

故にこのドメイン以外のメールアドレスで届いた『三井住友カード』からのメールは全て偽物と言うことになります。

メールヘッダーの”Received”フィールドからこのドメインの真偽を確認してみます。

Received: from recovery-fjx.top (unknown [14.103.128.12])

ほらね、ここには送信者のドメイン”tkcreshop.com”と全く異なる”recovery-fjx.top”なんてドメインが記載されています。
因みに”tkcreshop.com”を割当てているIPアドレスを調査するとこのように出ました。

このドメインは現在どのIPアドレスにも割り当てられていないので利用することができないものだと分かりました。
今度は逆に”recovery-fjx.top”についても調べるとこのような結果が。

割当てているIPアドレスが”14.103.128.12”で”Received”フィールドにあるものと合致したので送信者の本当のドメインは”recovery-fjx.top”であることが判明しました。
そしてこのIPアドレスから導き出したおおよそのこのメールの発信地は、中国北京市にある『天安門広場』付近であることも分かりました。


偽サイトは今現在も香港で稼働中

さて、本文に付けられた詐欺サイトへのリンクは『ご本人様の確認はこちらへ』と書かれた部分に付けられていてそのURLは以下の通りです。
h**ps://wanshwojiusnide8592.top/ff7h4w/
(直リンク防止のため一部の文字を変更してあります)

これまた『三井住友カード』のドメインとは異なるものが利用されていますね。
このドメインを割当てているIPアドレスからそのロケーション地域を調べると、『香港』であることが分かりました。

リンク先を辿ると、一旦はウイルスバスターにブロックされたものの解除して進むと三井住友カードのログインページにそっくりのページが開きました。

ログインしてしまうと当然その情報は犯人に筒抜けとなり不正利用が可能となります。
そして更に先に進めばカード情報の入力を迫られそれらまで詐取され詐欺に遭うことになります。


まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

モバイルバージョンを終了