『詐欺メール』『【三井カード認証通知】本人確認実施のご案内』と、来た件

★フィッシング詐欺メール解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。 それに比例して増えてくるのが悪質な詐欺行為。 このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし 悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。 もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます!

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆ ★現在、偽キャンペーンメールが大量発生中、特にポイント付与メールにご注意ください★

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • 宛名を確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。 最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。 では、進めてまいります。

前書き

今回は、三井住友カードを名乗るとても怪しいメールのご紹介となります。 では、今回も詳しく見ていくことにしましょう。

以下、そのメールです。 ※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。

メール本文

ここから本文 ↓↓↓↓↓↓

件名:[spam] 【三井カード認証通知】本人確認実施のご案内 送信者: “三井住友カード" <nmmxoe@hYP.tyvpwn.net>

三井カード 認証通知 三井カードをご利用いただきありがとうございます。 ご本人様確認のための認証が行われましたので、お知らせいたします。 本サービスは、万が一、ご本人様以外による不正ログイン・操作等があった場合に、 お客様が速やかに確認できるよう、追加認証の都度、メールを送信するサービスです。 jUh ▼ マイページで本人確認を実施する <お問合せ先> SmSV 【株式会社クレディセゾン発行の三井カードをお持ちの方】 東京  03-6893-3566 大阪  06-7709-5666 営業時間 9:00~17:00 1/1休み 【株式会社クレディセゾン発行以外の三井カードをお持ちの方】 東京  03-6893-1122 大阪  06-7709-9900 営業時間 9:00~17:00 1/1休み ※このメールは「アットユーネット!」から自動配信しております。 ※本メールにご返信いただきましても、ご質問・ご依頼などに お答えできませんので、あらかじめご了承ください。 アットユーネット

↑↑↑↑↑↑ 本文ここまで

送信者名は間違いなく『三井住友カード』と明記されていますが『このメールは「アットユーネット!」から自動配信しております』とはっきり『アットユーネット』と書いてありますよね。 でも、このアットユーネットは、三井住友カードの商売敵でもあるUCカード会員をサポートするインターネットサービスの名前です。 それと、メールの本文をここに貼付けて初めて分かったのですが、赤文字にしたように都合2箇所にメールには見えなかった意味不明な怪しげなアルファベットが書いてあります。 これはもしかしてワードサラダでしょうか?

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『hYP.tyvpwn.net』 ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。 因みに三井住友カードが利用するメールアドレスのドメインは『vpass.ne.jp』もしくは『smbc-card.com』です。 故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。 では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。 こちらがこのメールのReceivedフィールドがこちらです。

Received: from hYP.tyvpwn.net (unknown [202.95.213.70])

ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません では、試しにこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。 『No match for “TYVPWN.NET".』と書かれているので、このドメインは恐らく空きドメインで誰にも使われていないもの。 空きドメインではメールの受送信できないので、この結果からこの送信者が使ったとされる『hYP.tyvpwn.net』を使ったメールアドレスは偽装であることが断定できます。 このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、東京の神田駅付近です。

宛名を確認

このような大切なメールの冒頭には通常『○◇△ 様』と言ったように『宛名』が書かれていますが、でもこのメールにはその宛名が存在しません。 でも仮にもしこれが本当に三井住友カードからだとすれば、ユーザーの氏名やハンドル名を知っているはずですから宛名が無いのはとても不自然です。 ならどうしてこのような書き方をするのでしょうか? その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。 どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。

リンク先のドメインを確認

さて、本文の『▼ マイページで本人確認を実施する』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。 【h**p://qihangwanle.com/login】 (直リンク防止のため一部の文字を変更してあります) これまた三井住友カードのドメインとは異なるものが利用されていますね。 先程と同様にこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。 割当てているIPアドレスは『46.37.96.205』 IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな、米国のロサンゼルス付近であることが分かりました。 リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。 公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。 当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。

まとめ

三井住友カードが、自社のものではない空きドメインを使ったメールアドレスでユーザーにメールを送り、ロサンゼルス付近に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいです! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

迷惑メールhYP.tyvpwn.net,IPアドレス,qihangwanle.com,SPAM,アットユーネット,ドメイン,ドメインを確認,なりすまし,フィッシング詐欺,マイページで本人確認,三井住友カード,不正利用,件名の見出し,偽サイト,偽メール,宛名を確認,拡散希望,本人様確認のための認証,注意喚起,詐欺,詐欺メール,認証通知,迷惑メール

Posted by heart