サイトアイコン HEARTLAND

『詐欺メール』「至急、S M B Cカード会員サービスに修正情報を再登録してください」と、来た件

日本語スキル、低すぎぃ~
!ご注意!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。
このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください!
リンクは当該サイトを装った偽サイトへ誘導で、最悪の場合、詐欺被害に遭う可能性があります。
ですから絶対にクリックしないでください!
どうしても気になると言う方は、ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするように心掛けてください!

使われてるフォントは「微軟雅黒」

最近ちょうちょい送られてくるSMBCのなりすましメールの日本語スキルが低すぎて
朝から笑わせてもらっています。( ´,_ゝ`)プッ

まず書き出しの「本メールはドメインの運用(メール送受信やホームページの表示)に関わる
重要な通知となります」っての…
「ドメイン…重要な通知」なんてどんだけの人が意味分かるんだろうか?
だいたいが、ドメインなんてVpassユーザーには全く関係ないでしょ?!

で、こちらの段落。

弊社では、お客様に安心してカードをご利用いただくことを目的に、
第三者による不正使用を防止するモニタリングを行っています。
当社の検出を経て、第3者が不法悪意ログインあなたの三井住友ニコスwebサービス。

つらつらと読んでいくとまともかな~と思ったのもつかの間。

「第3者が不法悪意ログインあなたの三井住友ニコスwebサービス。」

って、ここでズルっとこけるてもう全く意味分かりません…(;^_^A
この先を読む気が失せてしまいそう(笑)

でもって、使われていフォントに若干恐怖を覚える例のヤツ!

この糸偏


この”今”の文字

これ中華フォントのヤヘイですわ…
正式名称は「Microsoft YaHei(マイクロソフト ヤヘイ)」
中国語で書くと「微軟雅黒」で
Microsoft Windowsに標準で搭載されている簡体字中国語フォント。
このフォントを使った詐欺メールがほんと多いんですよね~

どーでもいい話をもう一つ。
もう一つ気になるのは”SMBC”ってところだけ全角になってるんですよね。
我々日本人ってあんまり全角でアルファベット書くことは少ないと思うのですが…

さて、そんな話は置いといて、このメールを詳しく調査していきます。


差出人の本当のメールアドレスは?

このメールの差出人は以下のように「”三井住友Vpass” <SMBC>」
そして件名は「[spam] 至急、S M B Cカード会員サービスに修正情報を再登録してください」

差出人フィールドの「”三井住友Vpass” <SMBC>」にはメールアドレスは見当たりません。
普通は”< >”の中にメールアドレスが記載されているものですが、このメールの場合は
<SMBC>となっています。(^^;
いくら改ざんできるフィールドと言えメールアドレスを割愛しちゃ問題ありですよね。

メールのヘッダーと呼ばれるソースを見るとこんな感じ。

これで見ると”Return-Path”フィールドには”lufc@lfxi.cn”なんて中国のドメインを使った
メールアドレスが記載されています。
また時系列の一番古い”Received”や”Message-ID”にも同じ”lfxi.cn”ってドメインが見え隠れ
していますよね。


ヘッダーソース情報で調査

では、このメールアドレスや”Return-Path”フィールドにあるIPアドレスを詳細に
調べていきますね。

まず”lfxi.cn”ってドメインから。

割り当て国はセーシェルで割り当てられてるIPアドレスは”154.213.151.163”
登録国は記載されていませんが、登録者からすると北京にまつわる会社のようですね。
このドメインが使われている所在はこんな場所が推定されました。

これはメールのヘッダーソースの情報から導き出した、メールサーバーの所在地。
あくまでメールヘッダーが正確ならという条件付きのお話。

では、今度はメールヘッダーの”Return-Path”フィールドに見えてた”118.27.77.169”って
IPアドレスの所在…

”static.cnode.io”なんてドメインに割当てられているようですが、このドメインって
詐欺メール調査で非常によく見かけます。
このIPが使われている推定場所は東京都渋谷区と出ました。

メールのヘッダーソースが確かだとすればの話ですが、詐欺グループはこんな所から
メールを発信しているんですね。


また、ロスにあるサーバーで…

引続きメールにあるSMBC偽サイトのURLを調査します。

メールにあったそのリンク先のURLがこちら。

SMBCなんてどこにも見当たらない完全に無視したURLです(笑)
それに使い捨てに最適な”.best”なんて格安ドメイン使ってるし(^^;
因みにこの”.best”ってドメインは”名前ドットコム”では199円/年で登録できるドメインです。

調べてみると、登録された国は”CN”なので中国、そして”Registrant City: Beijing”とあるので
登録者は北京在住。
で、現在このドメインが運用されている国がアメリカでIPアドレスは”216.127.175.66”


やはり、契約したばかりのドメインでいつでも解約できる単年契約。

このドメインが利用されている推定地がここ。


かなり引きの地図表示にしてありますが、ロスアンジェルスにあるリトルトーキョーあたり
でしょうか。
ここに偽サイトを運営するサーバーが置かれている模様です。

偽のSMBCサイトはこのように今現在も稼働中です。

こういったメールが届いても慌ててリンクを開かず冷静に落ち着いてメールの内容を確かめ
適切に判断することが大切です。
サイトは稼働中なのでくれぐれも気をつけくださいね。

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS不随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了