『詐欺メール』『【重要】えきねっとシステム更新に伴うアカウント情報の更新のお願い』と、来た件

heart

2日前

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

昨日は380通、今日は261通…

いつもご覧くださりありがとうございます！

最近毎日同じ件名のメールが大量に届いて困っています💦
昨日は『【SMBC】三井住友カードセキュリティチェック：お客様のご協力を』と言う件名が380通2.25MB。
そして今日はこのように『【重要】えきねっとシステム更新に伴うアカウント情報の更新のお願い』と言う件名で261通2.20MB…
更に未だに届き続けています。

この件名、以前に紹介して事あるかなと思って過去履歴を調べるとどうやら未紹介のようなのでこの機会に取り上げておこうと思います。

件名：[spam] 【重要】えきねっとシステム更新に伴うアカウント情報の更新のお願い
送信者：”えきねっと” <stonicoentact@propertyagent.co.jp>こんにちは。

日頃より「えきねっと」をご利用いただきありがとうございます。

「えきねっと」システムの更新に伴い、お客様のアカウント情報を最新の状態に更新していただく必要があります。ログインしてアカウント情報の更新をお願いいたします。

システム更新後、今後も引き続き「えきねっと」のサービスをご利用いただくためには、2024年12月06日（金）までに一度ログイン操作をお願い申し上げます。

⇒ログインはこちら

h**ps://www.eki-net.com/personal/top/index

なお、アカウント情報が更新されない場合、サービスに制限がかかる可能性がありますので、必ずログインをお願いします。

=====================================================================

● このメールをお送りしているアドレスは送信専用となっており、
返信していただいても回答いたしかねます。

■ JR東日本ネットステーション
電話番号 050-2016-5000
受付時間 9時00分～20時00分
Copyright © JR East Net Station Co.,Ltd. All Rights Reserved.

=====================================================================

【通知書】番号：E00476530115

こんなに大量のメール、受け取る方も処理に手間がかかりますが送る方も相当大変なような気がするのですがどうなのでしょね？
でもどうせ機械的に送ってるんでそうでもないのでしょうかね。

本文に書かれているのは、システムの更新に伴ってアカウント情報を最新の状態に更新するように促しており、更新するためのリンクが本文内に直書きされています。

もちろんこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”propertyagent.co.jp”
これ『えきねっと』さんの物とは全く異なるもので、最近の大量詐欺メールは必ずこのドメインが使われています。
因みにこのドメインの持ち主は以前にも調査したことがありますが、東京都西新宿にある不動産業者の『プロパティエージェント株式会社』さんです。

もちろん、この不動産屋さんがこのようなメールを送ったわけではなく、何者かがこの不動産屋さんのメールアドレスを勝手に騙っ他のものである意味この企業も被害者です。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from j5ockjqu1.top (unknown [118.145.202.203])

やはりここには送信者のメールアドレスとは異なる”j5ockjqu1.top”なんてドメインが記載されていますね。

ドメイン”j5ockjqu1.top”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”j5ockjqu1.top”を割当てているIPアドレスです。

Receivedフィールドに記載のものと全く同じIPアドレスなのでこの送信者の本当のメールアドレスのドメインは”j5ockjqu1.top”であることは分かります。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、中国北京市にある『海淀区(かいでんく)』付近であることが分かりました。

リンク先はウィキペディア

さて、本文には詐欺サイトへのリンクが『えきねっと』さんの公式ドメイン”eki-net.com”を使って以下の通り直書きされています。詐
【h**ps://www.eki-net.com/personal/top/index】
(直リンク防止のため一部の文字を変更してあります)

でもコレ当然ながらリンク偽装されていて本当のリンク先はこちらのURLです。
【h**ps://5ykeq29zx.top/eekielr】
結局『えきねっと』のドメインとは全く異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、香港の『九龍地域』付近であることが分かりました。

恐る恐るリンクを辿ってみると、一旦はウイルスバスターにブロックされましたが解除するとこのようなページが開きました。

そう、ウィキペディアのページです。
恐らくこの送信者は最初から詐欺なんてするつもりは無くいたずら心でこのメールを作りリンク先をウィキに飛ぶように仕組んだものと思われます。
ホント人騒がせな野郎ですね。

まとめ

面白半分で作っているこういった同じ件名の大量メールは、送信者名や件名を変えながら今後もしばらく続くものと思われますので相手にせずそのまま削除してください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;