『詐欺メール』『【至急】Mastercardセキュリティ認証手続きのご案内』と、来た件

heart

2日前

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます！

・当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます。

件名の見出しを確認
メールアドレスのドメインを確認
宛名を確認
リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

『セキュリティシステムの更新』は不審メールの常套句

今回は、『Mastercard』に成り済ます不審なメールのご紹介となります。

件名：[spam] 【至急】Mastercardセキュリティ認証手続きのご案内
送信者：”Mastercard” <info.mastercard-yvfefaj@service.hljtcc.cn>

いつもMastercardをご利用いただき、誠にありがとうございます。

日頃よりMastercardをご愛用いただき、厚く御礼申し上げます。

このたび、お客様のアカウントの安全性を一層強化するため、セキュリティシステムの重要な更新を実施することとなりました。
■ 認証手続きの方法
下記のURLより、セキュリティ認証ページへアクセスしていただき、画面の指示に従って手続きを進めてください。

[セキュリティ認証ページ]
h**ps://www.mastercard.co.jp/ja-jp/personal/features-benefits/security.html
※ 本認証手続きは、お客様の大切な資産を保護するためのものです。
※ 認証情報は最新の暗号化技術により、厳重に保護されます。
■ お問い合わせ窓口
Mastercard アシスタンスセンター
TEL：00531-11-3886（24時間・年中無休）
今後とも、お客様に安心・安全なサービスをご提供できるよう、努めてまいります。

引き続き、Mastercardをご愛顧賜りますよう、よろしくお願い申し上げます。

敬具

Mastercard セキュリティ管理部
本メールは送信専用のアドレスから配信されています。
このメールに返信いただいてもご回答できませんので、あらかじめご了承ください。
1732940084.29156jBYv0HT90AsydzEzmamNq1orcXfN6JGqzR5rJ2bPa1l9PRkJXly

何か冒頭にあいさつ行が2行は違和感しかありません…
相変わらず『.cn』なんて中国のドメイン(@より後ろ)を使って送られてきていますね。
『セキュリティシステムの更新』は不審メールの常套句。
この言葉を見たらそれは偽物です！

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『service.hljtcc.cn』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに Mastercard が利用するメールアドレスのドメインは『mastercard.co.jp』
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from service.hljtcc.cn (unknown [192.227.165.174])

このドメインを割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる『service.hljtcc.cn』を使ったメールアドレスは偽装であることが断定できます。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、米国のダラス付近であることが分かりました。
それにこのIPアドレスは既にブラックリストに登録されて、サイバーアタックの攻撃元と認識されています。

リンク先のドメインを確認

さて、本文に Mastercard の公式ドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://mastercard-munodom.build-equity.net/features-benefits/】
(直リンク防止のため一部の文字を変更してあります)
これまた Mastercard のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、今度はサンフランシスコ付近であることが分かりました。

リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが解除して進むとこのようなページが開きました。

もうあからさまですよね。
ログインページでも表示させるのかと思えば、初っ端からカードの情報を聞いてきました(^^;)
それに『続け』ってかなり上からの命令系のボタンが配置されていますよ！(笑)
当然、ここに入力して『続け』ボタンを押してしまうとその情報は詐欺犯に把握され不正利用され詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;