『詐欺メール』「至急、S M B Cカード会員サービスに修正情報を再登録してください」と、来た件

迷惑メール

JCBの次はSMBCか
!ご注意!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。
このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください!
リンクは当該サイトを装った偽サイトへ誘導で、最悪の場合、詐欺被害に遭う可能性があります。
ですから絶対にクリックしないでください!
どうしても気になると言う方は、ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするように心掛けてください!


”.mobi”なんて怪しいドメインが

まぁ次から次へと送られてきますね。。。
今度は三井住友カードを騙ったなりすましメールが事務所のサーバーに届いていました。
これは既に退社したスタッフ宛のもの。
退社した後もそのスタッフ宛に客先からメールが送られてくることもあるのでちょいちょい
監視しています。

では、そのメールのプロパティー。

差出人のフィールドは「”三井住友Vpass” <XOXXXZXFVpass>」と記載されています。
”OXXXZXFVpass”って…ここは普通送信元のメールアドレスフィールドなのですが・・・

件名は「[spam] 至急、S M B Cカード会員サービスに修正情報を再登録してください」
何故かアルファベットの間に半角スペースが入れられていますが、見栄え重視でしょうか?(笑)

送信日時のフィールドは”2020年10月16日(金) 07:42:52”

次にヘッダー情報。

”Return-Path”フィールドを信用すると、差出人のメールアドレスは”wbncnda@kwzot.mobi”
”.mobi”なんて見掛けないドメインはとっても怪しいです。
うちの”.nagoya”も十分怪しいですが(⌒▽⌒)アハハ!
”Message-ID”にも”kwzot.mobi”と記載されていますが本当でしょうか?

そして4つあるうちの一番下にある”Received”
これはサーバーの通過記録に当たるものでドメインやIPアドレスは送信者のものです。
”static.cnode.io”ってドメインが見えていますが、このドメインにはに多くの覚えがあります。
そして送信日時は”Fri, 16 Oct 2020 07:43:04 +0900 (JST)”

では次に、”Received”に残された発信元のIPアドレスやドメインなどを詳しく調べていきます。


ドメイン調査

まずは”kwzot.mobi”ってドメインついて調べます。

「対応するIPアドレスがありません」って事はどうやら”kwzot.mobi”は嘘っぽいですね(^^;

では、”Received”に残された”118.27.81.208”ってIPアドレスはどうでしょうか?


結局のところこのIPは”kwzot.mobi”じゃなくて似ても似つかぬ”static.cnode.io”って
ドメインにたどり着きました。

このIPアドレスの所在地は…
ごめんなさい、あまりにもピンスポットだったんでぼかしました^^;


複数のサイトで検索を行ったんですが2箇所のピンスポットが表示されました。
どっちが本当か私にはそれを知る術がありません。


件名の差替えでしのぐ

では次に本文です。

何度か見た事のある本文だと思ったら前にも紹介した別の件名のものと同じでした。

 

『詐欺メール』「【三井住友銀行】重要なお知らせ」と来た件
「三井住友銀行」が楽天からメールを送る日 !ご注意! 当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。 このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください! リンクは当該サ...

また出ました、この気持ち悪い中華フォント。
「Microsoft YaHei(マイクロソフト ヤヘイ)」というフォントです。
詐欺メールにはよく使われるので覚えておきましょう。

どうやら犯人は、複数のメールを件名だけ差し替えてるようですね。
そりゃ同じものばかりだと誰も信じませんもんね。
って、件名変えても信じませんが(笑)

当社の検出を経て、第3者が不法悪意ログインあなたの三井住友ニコスwebサービス。

お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】まで、
なお、ご契約いただいているカードについては、第三者による不正使用の
可能性がございますので、カードのご利用を一時的に停止させていただいている、
もしくは今後停止させていただく場合がございます。

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。

それにしても怪しい日本語です。
訳の分からない部分で途切れて意味不明です。
その割に難しい言葉使ってるし…

このメールの本文には宛名がありませんね。
これはフィッシング詐欺メールの特徴。
本当にSMBCからならユーザーであるこちらの氏名なんて知ってるはず!
それなのに宛名が無いって事は怪しい証拠です!!

「本メールはドメインの運用に関わる重要な通知となります。」

前のエントリーにもありましたがこんなこと書かれても一般の方々は意味が
分かりませんよね?
”ドメインの運用に関わる重要な通知”ってチンプンカンプンです…(;^ω^)


リンク先サーバーの所在地は?

本文中のリンク箇所は青文字で書かれてる2箇所、どちらもURLはこれです。

この”dsfjzkcdsa.mhgfdzgvm.top”ってドメインを調査してみると。
申請は”Beijing”とあるので”北京”からですね。
IPアドレスの逆引きを見ると”108.166.217.172”となっています。
また、ドメインの割り当て国はアメリカ合衆国になっているのでこのIPはアメリカに
存在するって事ですが、このドメインでまだ偽サイトが運営されていればの話ですが。

確認してみると、下の画像のようにこのドメインで偽サイトは稼働中でした。

そしてこのIPアドレスの所在地を調べるとアメリカ合衆国カリフォルニア州のサンタクリタ
という場所が表示されました。

偶然なのかどうか分かりませんが、カリフォルニアもフィッシング詐欺の調査でよく出てくる
地域ですよね。


なかなかメールのヘッダーまで詳しく調べませんよね。

メールの見てくれだけでの詐欺メールと判断するのは難しいかも知れませんが
あの中華フォントを見かけたら要注意です!
そして宛名にも気を掛けておくのも大切!

特にショッピングサイトや金融機関からのメールにはご注意を!!


 

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS不随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました