サイトアイコン HEARTLAND

『詐欺メール』三井住友カードから『【重要】カードを発送しました』と、来た件

heart

 

★フィッシング詐欺解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

 

いつもご覧くださりありがとうございます!

・当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます。

  1. 件名の見出しを確認
  2. メールアドレスのドメインを確認
  3. 宛名を確認
  4. リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

新たな手口のフィッシング詐欺メール

今回は、『三井住友カード』に成り済ます不審なメールのご紹介となります。

件名:[spam] 【重要】カードを発送しました 取引番号Y34072612
送信者:”三井住友カード” <rlujcqdp@mikasaen.com>
○□△ 様

まもなくカードをお届けいたします

お届け予定のANA VISAゴールドを本日、三井住友カード株式会社から発送いたしましたので、お知らせいたします。

お客さまのカードは受け取りやすい「普通郵便」でお届けいたします。
約1週間〜10日でポストへ投函いたしますので、ご不在でも受け取りいただけます。。
※お届けする封筒に記載の差出人名称は「VJA株式会社」となります。
※一部のお客さまに対しては、「本人限定郵便」でお届けする場合がございます。ご注意ください。

カードの発送状況につきましては日本郵便の追跡ページよりご確認いただけます。

お問い合わせ番号:10096038122

追跡ページはこちら

※日本郵便株式会社へリンクします

※郵便の状況によっては本メールより先にカードが到着する場合や、通常よりもお届けにお日にちをいただく場合がございますので、ご了承ください。
※約1週間〜10日経過してもカードが届かない場合はこちらよりご確認ください。

依頼した覚えのないクレジットカードの発行をネタにして、三井住友カードのアカウントとクレジットカード情報を詐取しようとする詐欺メール。
よく見ると、カードの種類がわざわざ『ANA VISA』と書かれていますが、全部全角文字。
アルファベットが全角文字なのは、多くの詐欺メールで見られる特徴ですので覚えておかれると良いと思います。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『mikasaen.com
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
三井住友カードのオフィシャルサイトにあるQ&Aによると、同社が利用するドメインの説明が以下のように記載されていました。

mikasaen.com』なんてドメインはどこにもありませんよね!
故にこのメールは、三井住友カードさんからのものではありません。

では次に、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from mikasaen.com (os3-362-14277.vs.sakura.ne.jp [133.167.65.31])

おやおや?
ここにはなぜか『sakura.ne.jp』なんて、レンタルサーバーサービスを提供している『さくらインターネット』のドメインが記載されているではないですか。

まずはドメイン『mikasaen.com』を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得したIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる『mikasaen.com』を使ったメールアドレスは偽装であることが断定できます。

更にReceivedフィールドにあった『os3-362-14277.vs.sakura.ne.jp』について。

ピッタリ一致したので送信者は、さくらインターネットのユーザーで、同社のメールサーバーを利用してこのメールを送信していることが分かりましたね!

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、さくらインターネットの本社がある大阪市付近であることが分かりました。

宛名を確認

このメール本文の冒頭に『○□△ 様』と宛名が付けられています。
この『○□△』部には、受信者メールアドレスのアカウント部分(@より前)が記載されています。
もしこのメールが本当の三井住友カードからのものであれば、当然当方の氏名を知っているはずなのでここには受信者の氏名が記載されるはずです。
これは、送信者が受信者の氏名を知らない証です。

リンク先のドメインを確認

さて、本文の『』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://www.vpass3-tomuu.com/signup
(直リンク防止のため一部の文字を変更してあります)
これまた三井住友カードのドメインとは異なるものが利用されていますね。

Grupo』さんでこのドメインに関する情報を取得してみます。

このドメインの取得者情報は『お名前ドットコム』さんの情報で隠蔽されていて本当の登録者の情報は分かりませんでした。
割当てているIPアドレスからそのロケーション地域を調べると、今度は福岡県大川市付近であることが分かりました。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

適当な情報を使ってログインを試みると、次に電話番号を入力させられた上に何故か新しいパスワードと、届いてもいないはずのクレジットカード情報の入力を求められました。(;^_^A

当然、これらを埋めて『次へ進む』と書かれたボタンを押してしまうとその情報は詐欺犯に把握され詐欺の被害に遭うことになります。

この詐欺サイト、タブを見るとこのように通販サイト『Qoo10』っぽいファビコンが付けられていました。

これってもしかしてこのさくらインターネットユーザーの詐欺犯は Qoo10 の詐欺メールにも加担しているのでしょうか?(^^;)

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
モバイルバージョンを終了