『詐欺メール』PayPay銀行から『【重要】Ｖｉｓａデビットカード番号制限のお知らせ』と、来た件

2024年11月25日

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます！

『PayPay銀行』を名乗る不審なメールが私のところに届きました。

件名：[spam] 【重要】Ｖｉｓａデビットカード番号制限のお知らせ
送信者：【PayPay銀行】 <○□△@kandhprecision.com>いつもPayPay銀行をご利用いただき、ありがとうございます。

過去にお客さまが利用したショップやフィッシングサイト、なりすましメールなどからお客さまのVisaデビットのカード情報が漏洩した可能性があると判断しました。
つきましては、第三者による不正利用防止のため、以下のカード番号のWebでのご利用（ネットでのお支払い）を停止させていただきました。

カード番号：46**************（キャッシュカード一体型）
※セキュリティ観点により、停止理由について上記以上の詳細はお答えできません。
※キャッシュカード紛失のご連絡をいただいたお客さまも、セキュリティ観点により停止させていただいております。
※キャッシュカードによる入出金を含む普通預金口座でのお取引は引き続きご利用いただけます（キャッシュカード紛失の場合を除く）。

ログイン後、「Visaデビット」＞「ご利用明細一覧」よりVisaデビットご利用明細をご確認のうえ、万一、お心当たりのないお取引がございましたら、すみやかに当社までご連絡をお願いします。
なお不正利用の場合に補償されるのは、お客さまが当社へ連絡された日からさかのぼって30日前までのお取引となります。
あらかじめご了承ください。
今後のVisaデビットご利用につきましては以下をご確認ください。

▽規制解除するには下記へアクセスし、お手続きしてください。
h**ps://login.paypay-bank.co.jp/wctx/NBG12940G11.do?MailUrl=M8i-xTUljhWHhWI4sZcqf40slOGx4YaiS3fY-5290BROsz5i1hlRzjwWFgdHV9FUXepJ3aYFQzTVSCka84NmHg%3D%3D

お客さまに安心してご利用いただくためのご案内です。
何とぞ、ご理解、ご協力のほど、お願い申し上げます。

PayPay銀行　Visaデビットカスタマーセンター
https://www.paypay-bank.co.jp/support/customer.html#visa
営業時間：9時～17時
休業日：12月31日～1月3日、5月3日～5月5日

※本メールへの返信によるご質問にはご回答できません。

件名のアルファベットが全角文字の不審なメール。
もちろんフィッシング詐欺メールの類です。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

『PayPay銀行』を名乗っているにも拘らず送信者として記載されているメールアドレスのドメイン(@より後ろ)は”kandhprecision.com”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに『PayPay銀行』が利用するメールアドレスのドメインをは『PayPay銀行のQ&A』に
このように書かれていました。

・cc.paypay-bank.co.jp
・cc02.paypay-bank.co.jp
・paypay-bank.co.jp
・fx.paypay-bank.co.jp

全てドメインが”paypay-bank.co.jp”ですよね。
故にこのドメイン以外のメールアドレスで届いた『PayPay銀行』からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from adeptdict.com (unknown [198.200.38.100])

”kandhprecision.com”を割り当てているIPアドレスを『aWebAnalysis』で取得してみます。

ReceivedフィールドにあるIPアドレスと全く異なりますよね。
これがの送信者が記載したメールアドレスが偽装であることの証拠です。

このReceivedフィールドIPアドレスからメールの発信地を導き出してみると、米国の『サンタクララ』であることが分かりました。

リンク先は偽装に偽装を重ねるものの強固にブロックされていた

さて、本文に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://login.paypay-bank.co.jp/wctx/NBG12940G11.do?MailUrl=M8i-xTUljhWHhWI4sZcqf40slOGx4YaiS3fY-5290BROsz5i1hlRzjwWFgdHV9FUXepJ3aYFQzTVSCka84NmHg%3D%3D】(直リンク防止のため一部の文字を変更してあります)

ここにはちゃんとPayPay銀行のドメイン『paypay-bank.co.jp』が記載されていますよね。
でもこれ当たり前ですが偽装。
このリンクをクリックしてみると…

『不適当なリンクが検出されました』と。

実際のリンク先のURLは更にリダイレクト(自動転送)され別サイトへ。
そのリンク先のURLがこちらです。
【h**ps://jxy799.com/member_p/Login.html?P=wctx/NBCW2101.do&link=cojp_head_myj_loginLNtTWyZDdzEMxBwhmAfUkF4iGYKCcIunvPe76rX9qQsSoap532】
(直リンク防止のため一部の文字を変更してあります)

今度は、PayPay銀行には似ても似つかぬ『jxy799.com』なんてドメインが使われていますね。
このドメインを割当てているIPアドレスからそのロケーション地域を調べると、カナダの『トロント市庁舎』であることが分かりました。

リンクを辿ると真っ先にウイルスバスターにブロックされました。
解除すると今度はGoogleからもブロックされたので相当危険なサイトのようです。
このブロックも解除し更に先に進むと、今度は詐欺サイトが設置されているホスティングサービスの『Cloudflare』から強固にブロックされ先に進むことはできませんでした。

まとめ

この結果からこのURLでの活動はできなくなりましたが、安心するのは束の間ですよ！
奴等はいくつもの詐欺サイトを用意して我々を虎視眈々と狙っていますから要注意です。
PayPay銀行に限らずこのようなメールには騙されないようにご注意ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;