『詐欺メール』JAネットバンクから『定期的な取引目的確認のお願い(重要)』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
今回は、『JAネットバンク』に成り済ます不審なメールのご紹介となります。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
件名:[spam] 定期的な取引目的確認のお願い(重要)
送信者:"JAネットバンク" <sendonly485@apprsbve.co.uk>
平素よりJAネットバンクをご利用いただき、誠にありがとうございます。
当行では、関係省庁と連携し、特殊詐欺被害防止、マネー・ローンダリング、ならびにテロ資金供与対策に取り組み、安心・安全な取引環境の整備を推進しています。
その一環として、金融庁のガイドラインに基づき、すべてのお客様に定期的な「お取引目的等の確認」をお願いしております。
確認内容は、住所、職業、取引目的などです。確認は、2025年2月16日までに以下のリンクからお願いいたします。
▼お取引目的等の確認
h**ps://szsldzkj.com/buderson.html
※確認後は通常通りお取引いただけます。
※期日内にご確認いただけない場合、アカウント取引に制限がかかる可能性があります。
お手数をおかけいたしますが、何卒ご理解とご協力のほどよろしくお願い申し上げます。
━━━━━━━━━━━━━━━━━
【お問い合わせ窓口】
0120-058-098
今後ともJAネットバンクをよろしくお願いいたします。
皆さん、お分かりになりますか?
このメールに何か所か書かれた『JAネットバンク』の文字。
アルファベットが全角で書かれていますよね?
これ、不審なメールの特徴で、多くのメールで全角アルファベットが使われています。
このメールは、金融庁のガイドラインに基づく定期的な取引目的等の確認をネタにしたもので、偽サイトに引きずり込みJAネットバンクサイトへのログイン情報やクレジットカードの情報を盗み出そうとするものです。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『apprsbve.co.uk』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
この末尾にある『.uk』は、ご存じの方も多いと思いますが、イギリスに与えられた国別ドメインです。
JAネットバンクがわざわざ意義汁のドメインを使ってユーザーにメールを送るなんてこと考えられませんよね。
もっともこのドメインだって偽装されているかもしれませんよ。
因みに『JAネットバンク』が利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると
『@webcenter.anser.or.jp』『@otp-auth.net』『@janetbank.jp』と書かれています。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。
Received: from mail-pl1-f194.google.com (mail-pl1-f194.google.com [209.85.214.194])
このドメインを割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。
全然違いますよね、この結果からこの送信者が使ったとされる『apprsbve.co.uk』を使ったメールアドレスは偽装であることが断定できます。
それにReceivedフィールドに『mail-pl1-f194.google.com』と記載されているので、この送信者はどうやらGoogleのインターネットサービスを利用してこのメールの配信を行っているようです。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、米国のマウンテンビュー付近であることが分かりました。
宛名を確認
通常大切なメールの冒頭には『○□△ 様』と言ったように『宛名』が書かれています。
でもこのメールにはその宛名が存在しません。
そりゃそうですよね、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがありません。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのですから。
リンク先のドメインを確認
さて、本文に直書きされた詐欺サイトへのリンクですが、これ偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://clinaccel.net/ja/#/select】
(直リンク防止のため一部の文字を変更してあります)
これまたJAネットバンクのドメインとは異なるものが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。
この情報が正しければ、このドメイン所持者の居住地は愛媛県。
このIPアドレスからそのロケーション地域を調べると、ロサンゼルス付近であることが分かりました。
リンクを辿ってみると、このようなページが開きました。
『Warning Tip 404』と書かれているので対象のページが見つからないことを表しています。
ブラウザのタブにJAネットバンクのファビコンが残っているので、以前は存在していたようですが何らかの理由があってページを削除してしまったようですね。
これは恐らく、このサイトを設置したレンタルサーバー側が危険を察知して閲覧不可にしたのではないかと思います。
このURLでの活動はできなくなりましたが、敵はいくつものサーバーを利用して詐欺を試みてきますのでここが閉鎖されているからと言って安心はできませんよ!
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;