『詐欺メール』『PayPay初詣キャンペーン – ラッキー抽選！』と、来た件

★フィッシング詐欺解体新書★

実在しないキャンペーンを騙る詐欺

いつもご覧くださりありがとうございます！

年末年始になると巷では様々なキャンペーンやセールが行われますよね。
そんな時期になると詐欺師も活動的になり、そのキャンペーンやセールに便乗した詐欺メールも急増します。
そんな師走の先日、このようなPayPayのキャンペーンを騙ったフィッシング詐欺メールが届きましたので紹介しておこうと思います。

ここに書かれている『PayPay初詣キャンペーン』なんてキャンペーンは調べてみましたが実在しないようです。
架空のキャンペーンまで作り上げて詐欺サイトに誘い込む悪質なこのフィッシング詐欺メール。
解体してみることにします。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”service.soupengpt.cn”で末尾が”.cn”ですから中国に与えられた国別ドメインが使われています。
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにPayPayによると同社が利用するメールアドレスのドメインは『paypay.ne.jp、paypay-corp.co.jp、paypay.co.jp』としています。
故にこのドメイン以外のメールアドレスで届いた『PayPay』からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

ドメイン”service.soupengpt.cn”を割当てているIPアドレスと比較してみましょう。
こちらが『Grupo』さんで取得した”service.soupengpt.cn”を割当てているIPアドレスです。

IPアドレスがReceivedフィールドのものと合致したので間違いなくこのドメインは送信者のもので、その氏名は当用漢字に無い漢字3文字が利用されたもの。
そしてIPアドレスから導き出したおおよそのこのメールの発信地は『シンガポール』であることも分かりました。

どこからもブロックされていなくてもこれじゃね

さて、本文の『詳しくはこちら』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://paypay-goalaire.zvnjo.cn/pay2-merchant-panel-client/】
(直リンク防止のため一部の文字を変更してあります)
これまた中国のドメインが利用されていて、当然『PayPay』さんのドメインとは異なるものが利用されていますね。

先程と同様に『Grupo』さんでこのドメインを割当てているIPアドレスを取得してみます。

先程とは異なるものの恐らく中国人らしき氏名が記載されていますね。
このIPアドレスからそのロケーション地域を調べると、『東京都杉並区和泉２丁目』付近であることが分かりました。

リンクを辿ってみると、どこからもブロックされることなく無防備に放置されていたのはこのようなページ。

PayPay銀行サイトへのログインは、店番号、口座番号とパスワードで構成されていますが、このページは電話番号とパスワードで構成されていますね。
何も調べずにこの詐欺サイトを作ったのでしょうか？…
どこからもブロックされていなくてもこれじゃ詐欺しようと思っても店番号と口座番号が分からないので実行できませんね。(笑)

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;