『詐欺メール』『【緊急特典】au PAYカード年末ポイント還元を今すぐ受け取ろう！』と、来た件

heart

5日前

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

ありもしないキャンペーンの便乗詐欺

いつもご覧くださりありがとうございます！

au ユーザーの方ご注意ください！
このようなキャンペーンは実在しませんので！

件名：[spam] 【緊急特典】au PAYカード年末ポイント還元を今すぐ受け取ろう！
送信者：”au PAY カード” <mail@yfuvmsw.com>○□△ 様

いつもau PAY カードをご利用いただき、誠にありがとうございます。

━━━━━━━━━━━━━━━━━━━━
★ au PAYカード年末ポイント還元キャンペーン ★
━━━━━━━━━━━━━━━━━━━━

au PAY カードでは、2024年にカードをご利用いただいたお客様を対象に、年末感謝キャンペーンを実施中です！
最大10,000 Pontaポイントを還元いたします。このポイントは、au PAYでのお支払いにご利用いただけます。
特典は、以下の期間内にお申し込みいただくことで、受け取ることができます。

【特典受け取り方法】
以下のリンクをクリックし、必要な情報を入力するだけで、特典を受け取ることができます。
本特典は48時間以内のご対応が必要ですので、早めのお申し込みをお願いいたします。

▼ [ポイントを今すぐ受け取る]
h**ps://wallet-au.rdtjc.com/?bonus=XXkAojzdK0nqJGpNoUFNL2zP

【ご注意事項】

本キャンペーンは、2024年にau PAY カードをご利用いただいたお客様が対象です。
ポイントは、2024年12月9日から2025年1月6日までに受け取ることができ、1ポイント＝1円としてau PAY残高に反映されます。
ポイントは2025年1月10日以降にご利用いただけます。
本特典は、1回限りのご案内となります。再度申し込みを行う必要はありません。
この特別な機会をお見逃しなく！
複数の利用シーンで使えるPontaポイントで、さらに便利にお得にお楽しみください。

──────────────────────
auフィナンシャルサービス株式会社
〒108-0075 東京都港区港南二丁目16番1号品川イーストワンタワー20階
0120-977-964（9:00-20:00 年中無休）

年末年始に向けて色々な所で様々なお得なキャンペーンが開催されているようですが、これらのキャンペーンは詐欺師の格好のネタです。
今回のこのメールもさも実在するキャンペーンのように謳い最大10,000 Pontaポイントを還元すると吹聴しリンクに誘い込むという手口の詐欺メールです。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”yfuvmsw.com”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
au PAYカードが使うドメインは以下の通りです。

故にこのメールは ay PAY からのものではありません。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from yfuvmsw.com (ecs-124-243-139-38.compute.hwclouds-dns.com [124.243.139.38])

ドメイン”yfuvmsw.com”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”yfuvmsw.com”を割当てているIPアドレスです。

完全に合致しますよね。
これで送信者のメールドメインは”yfuvmsw.com”で間違いなさそうです。

じゃ、このドメインはどこの誰が持ち主なのでしょうか？
今度は『Grupo』さんでドメインの持ち主を検索してみます。

持ち主は、米国のアラバマ州の方が申請しているようですが、それ以外の情報はことごとくプライバシー保護されています。

このReceivedフィールドの末尾にあるIPアドレスから『IP調査兵団』さんにてメールの発信地を導き出してみると、シンガポールの山中であることが分かりました。

本物そっくりの詐欺サイトはトロントで運営中

さて、本文に直書きされた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://wallet-au.rdtjc.com/?bonus=XXkAojzdK0nqJGpNoUFNL2zP】
(直リンク防止のため一部の文字を変更してあります)
これまた『ay PAY』のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

再び『IP調査兵団』さんでこのIPアドレスからそのロケーション地域を調べると、カナダの『トロント市庁舎』付近であることが分かりました。

リンクを辿ってみると、詐欺サイトはどこからもブロックされることなく無防備に放置されていました。

いやぁ～、本物と見比べてみましたが全く見分けが付きません。

当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;