『詐欺メール』『【eオリコ】口座振替によるお支払完了のお知らせ』と、来た件

★フィッシング詐欺解体新書★

意図しない口座振替による支払いをネタに

いつもご覧くださりありがとうございます！

詐欺メールで多く見られるのが、クレジットカード会社に成りすまして『ご請求金額のご案内』だとか『お支払い予定金額のご案内』などと、あたかも次回の支払い予定金額の案内を装ったもの。
そんなメールが、多くのクレジットカード会社の名前を使って送られてきますが、今回ご紹介するのはそんなメールによく似たもので、意図しない口座振替による支払いをネタにしたもの。
今回は『オリコカード』を装ってこのようなメールが送られてきました。

契約名がオリコカードってよく意味が分かりませんが、私オリコカード持っていません。
持っていないのにどうやって口座振替ができたんでしょうね？(笑)

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

オリコカードが中国のドメインを使う？

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”service.shykikj.cn”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
お気付きの通り末尾の”.cn”は、中国に与えられた国別ドメイン。
そんなドメインを国内の信販企業が使うはずありません。
因みにオリコカードが利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると『@mail.orico.co.jp』と書かれています。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

このドメインを割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した割当てているIPアドレスの情報です。

全然違いますよね、この結果からこの送信者が使ったとされる”service.shykikj.cn”を使ったメールアドレスは偽装であることが断定できます。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、米国のダラス付近であることが分かりました。
それにこのIPアドレスは、危険なものとして既にブラックリストに登録されています

ログインすると直ぐにクレカ情報を求めてきた

さて、本文にオリコカードの公式ドメイン『orico.co.jp』を使って書かれた詐欺サイトへのリンクですが、もちろんこれは偽装。
実際に接続されるURLは以下の通りです。
【h**ps://orico-endfo.rxjvf.cn/eorico/login/】
(直リンク防止のため一部の文字を変更してあります)
結局また中国のドメインが利用されていますね。

『Grupo』さんでこのドメインに関する情報を取得してみます。

このドメインは、中国のレジストラを介して取得されていますね。
このIPアドレスからそのロケーション地域を調べると、カナダの『トロント市庁舎』付近であることが分かりました。
そしてこのIPアドレスも脅威レベルは『中』です。

リンクを辿ってみると、このようなページが開きました。

当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。

適当な情報を打ち込んでログインボタンを押してみます。
すると早速クレジットカード情報を入力するページに切り替わりました。

このページを埋めて『次へ進む』と書かれたボタンを押してしまうと、その時点でクレジットカードの情報を盗み取られた詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;