『詐欺メール』『【JAネットバンク】【重要】ワンタイムパスワード補正する必要があります』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
今回は、「農林中央金庫」 農業協同組合(JA)、漁業協同組合(JF)、森林組合(森組)等の出資による金融機関『JAネットバンク』に成り済ます不審なメールのご紹介となります。
なになに?ワンタイムパスワード補正だって?
何だろうと思って調べてみると、ワンタイムパスワードカードには時計が組み込まれていて、長期間使ううちに時間にずれが生じ、正常に認証できなくなることがあるので。
エラーとなる場合は、時刻補正を行う必要があるそうです。
今回はその補正をネタにした悪質な詐欺メールですね。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:【JAネットバンク】【重要】ワンタイムパスワード補正する必要があります
送信者:JAネットバンク <no-reply@zdirse4dgfrk6xdk.com>
平素は、JAネットバンクをご利用いただきまして、誠にありがとうございます。
3月7日4時00分頃より、JAネットバンクにおける系統金融機関あての振込の一部機能にて不具合が生じた為、ワンタイムパスワード時刻ずれを補正することを行います。下記のリンクをアクセスし、補正を実行してください。
※補正を実行しない口座に対しては利用制限をかかる恐れがございます。
※ワンタイムパスワードを補正の実行後、2~3分待ってからアプリをご利用ください。
h**ps://jeannemoles.com
お客様にご迷惑をお掛けしておりますことを深くお詫び申しあげます。
---------------------------------
ご不明な点がございましたら、下記までご連絡ください。
連絡先 0120-058-098
これからもJAたかつきをよろしくお願いします。
↑↑↑↑↑↑
本文ここまで
末尾には『JAたかつき』と書いてありますね。
今までいくつかJAネットバンクに成り済ますメールを受取ってきましたが、いつも末尾にJAたかつきと書いてあります。
それにしても今メール、詐欺メールらしいですね。
と言うのも、このメールに書かれている自社名と電話番号のアルファベットと数字が全部全角文字。
これ、詐欺メールの大きな特徴なので覚えておいてください。
それにしてもワンタイムパスワードの時刻補正とは、また新たなネタを見つけましたね。😓
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『zdirse4dgfrk6xdk.com』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにJAネットバンクが利用するメールアドレスのドメインは『@janetbank.jp』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。
Received: from unknown (HELO mail2.zdirse4dgfrk6xdk.com) (160.124.98.42)
末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
ここに書かれているドメイン『mail2.zdirse4dgfrk6xdk.com』を割当てているIPアドレスとこのIPアドレスを比較してみましょう。
こちらが『Grupo』さんで取得したこのドメインに関する詳しい情報です。
この情報が正しければ、このドメインの取得者の所在地は、東京のようです。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、香港付近であることが分かりました。
最近はこの香港が不審なメールの発信地としてトレンドですね。
宛名を確認
通常大切なメールの冒頭には『○□△ 様』と言ったように『宛名』が書かれていますが、でもこのメールにはその宛名が存在しません。
でも仮にもしこれが本当に『』からだとすれば、ユーザーの氏名やハンドル名を知っているはずですから宛名が無いのはとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。
リンク先のドメインを確認
さて、本文に直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://pipfun.com/tops/index/3210000?redirectToken=eyJhbGciOiJIUz…….】(あまりに長いので割愛しました)
(直リンク防止のため一部の文字を変更してあります)
これまた『』のドメインとは異なるものが利用されていますね。
先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。
このドメインに関する詳しい情報を『Whois』さんで取得してみます。
この情報が正しければ、このドメインの取得者の所在地は、日本で『State:chuan lu shi』とありますが、検索してもこの町の名前は分かりませんでした。
割当てているIPアドレスは『27.124.10.95』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、先程とは異なるものの再び香港付近であることが分かりました。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
全国にあるJAの拠点へのリンク一覧ですね。
公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
ボタンを推し進めていくと、このようにログイン画面が表示されました。
当然、ここに情報を入力してログインボタンを押してしまうとそれらは詐欺犯に把握され不正ログインが可能となり資産を操作され被害に遭うことになります。
まとめ
日本のJAネットバンクが、自社のものではないドメインを使ったメールアドレスで、香港からユーザーにメールを送り
更に香港に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいです!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;