『詐欺メール』『【全日本空輸】重要なお知らせ：ANA会員ご登録情報の定期的な更新のお願い（期限あり）』と、来た件

署名欄には存在しない部署名が

いつもご覧くださりありがとうございます！

年明け3週間、年末年始に急増していた詐欺メールや迷惑メールがここに来て急減しています。
何かあったのでしょうか？
世の中的にはとても良いことなのですが、ブロガーの私にとつてはネタ不足に陥りそう(^^;)
とは言いつつ、少なくなったとは言え全然来なくなったわけじゃないので、ネタには困ることは無さそうです(笑)

さて、今回ご紹介するのはこちらの『ANAマイレージクラブ』に成りすます詐欺メールです。

これによると、私の会員情報が有効期限切れになるとの事、様々なご不便が生じる可能性があるのでリンクから会員情報を更新するように促すメールです。
でも私、『ANAマイレージクラブ』なんて存在すら知らないしもちろん登録もしていません。
それにこのメールの署名欄にある送信者の所属部署は『ANAマイレージクラブ事務局』とありますが、この部署名を検索してみても全くヒットしないので架空の部署っぽい。
更にはこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

国内の大手航空会社が中国のドメインを使う？？

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”service.hlktsl.cn”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
詐欺メールや迷惑メールでよくあることですが、末尾に”.cn”とあるのでこのドメインは中国に与えられた国別ドメインです。
そんなドメインを国内の大手航空会社が使うと思います？
使いませんよね！

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

ドメイン”service.hlktsl.cn”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”service.hlktsl.cn”を割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる”service.hlktsl.cn”を使ったメールアドレスは偽装であることが断定できます。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、米国の『バッファロー』付近であることが分かりました。

本物とかけ離れたデザインの詐欺サイト

さて、本文にANAの公式ドメイン『ana.co.jp』を突かxtるて記載された詐欺サイトへのリンクですが、もちろんこれは偽装で、実際に接続されるURLは以下の通りです。
【h**ps://ana-raphbad.hfntbq.cn/amcmembr_Loginam/】
(直リンク防止のため一部の文字を変更してあります)
結局これまた中国のドメインが利用されていますね。

『Grupo』さんでこのドメインに関する情報を取得してみます。

このドメインは、詐欺メールや詐欺サイト調査で頻繁に見掛ける中国の方が申請取得されています。
割当てているIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな、カナダの『トロント市庁舎』付近であることが分かりました。

リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが解除して進むとこのようなページが開きました。
偽の『ANAマイレージクラブ』へのログインページですね。

本物の『ANAマイレージクラブのログインページ』を確認してみましたが、デザインが全然ちがっています。

適当に入力して先に進んでみると、本人認証として早速カードの情報を求めてきました。

本人を確認するためにクレジットカードの情報を求めるって、聞いたことありません！
当然、ここを埋めて『次へ進む』と書かれたボタンを押した瞬間に詐欺師にこれらの情報が渡り、詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;