『詐欺メール』『【至急】三井住友カード会員サービスに修正情報を再登録してください』と、来た件

★フィッシング詐欺メール解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます!

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • 宛名を確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

前書き

今回は、『三井住友カード』に成り済ます不審なメールのご紹介となります。

例によってカードの不正利用の可能性があるのでリンクで利用確認をするように促すものです。

以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。

メール本文

件名:[spam] 【至急】三井住友カード会員サービスに修正情報を再登録してください
送信者:"SMBC*会員" <translate-5052-5052@suLtanajet.com>

SMBC*会員:○□△

不正な使用の可能性があるため

カードのご利用にいくつかの制限を設定いたしました。

「ご本人さまの利用であるかを回答ください。

ご回答をいただけない場合、サービスのご利用制限が継続されることがございますので。

予めご了承くださいますようお願い申し上げます

アカウント確認情報の 再入力をお 願いい たしま す

ご利用確認はこちら

※正確な情報をご記入くださいますようお願い申し上げます。

■発行元:三井住友カード株式会社

どうしていつも全角アルファベットなのでしょうね。
今回も『SMBC*会員』とアルファベットが全角文字です。
では、詳しく見ていきましょう。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『suLtanajet.com
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
通常ドメインは全部小文字ですが、このドメインは大文字と小文字が混在していますね。

因みに三井住友カードが利用するメールアドレスのドメインは@vpass.ne.jp』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from sultanajet.com (unknown [150.5.168.184])

ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません
ドメイン『suLtanajet.com』を割当てているIPアドレスとこのIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。

案の定全然違いますよね、この結果からこの送信者が使ったとされる『suLtanajet.com』を使ったメールアドレスは偽装であることが断定できます。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、香港付近であることが分かりました。

宛名を確認

このメールの冒頭に『○□△』と『宛名』が書かれています。
でも書かれているのは受信したメールアドレスのアカウント部分(@より前)。
おかしいですよね?
本当に三井住友カードなら私の氏名もハンドル名も知っているはず。
それなのにどうしてこのような書き方をしたのでしょう。
そりゃそうですよね、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがありません。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのですから。

リンク先のドメインを確認

さて、本文の『ご利用確認はこちら』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://0021-arvinhe.club-translate.goog/?_x_tr_sch=http&_x_tr_sl=auto&_x_tr_tl=ja&_x_tr_hl=ja
(直リンク防止のため一部の文字を変更してあります)
これまた三井住友カードのドメインとは異なるものが利用されていますね。

Whois』さんでこのドメインに関する情報を取得してみます。

おやおや?
『Invalid domain name』と書かれているので、無効なドメイン名のようです。
無効なドメインではサイトを開くことはできないので当然リンク先はエラーになります。

まとめ

リンク先の状態からして、恐らくこのメールは最初から詐欺目的ではなく、愉快犯による迷惑メールだったのでしょうね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

 

迷惑メールIPアドレス,SMBC,SPAM,suLtanajet.com,アカウント確認情報の再入力,いくつかの制限を設定,ドメイン,ドメインを確認,なりすまし,フィッシング詐欺,三井住友カード,不正な使用の可能性,不正利用,件名の見出し,偽サイト,偽メール,利用確認,宛名を確認,拡散希望,注意喚起,詐欺,詐欺メール,迷惑メール

Posted by heart