『詐欺メール』三井住友カードから「ご利用確認のお願い」と、来た件

メールアドレスだけで分かる迷惑メール

最近ホントSMBC系を騙るなりすましメールが多い事多い事(汗)
またもやメールサーバーに迷子メールとしてこんなメールが残されているし。

このところのSMBCのなりすましメールはどうも「昨今の第三者不正利用の急増」と
「不正利用監視システム」ってのがお好きなようで…(笑)

これまでは、メールアドレスもきちんと？偽装してたのに今回はあからさまにと言うか
正々堂々と「”三井住友Vpass” <isr@bbmaqbywf.asia>」とめちゃめちゃなあり得ない
アドレス付けて送ってきています。
どんな意図があるのか知りませんが、これ見ただけでブラックなメールって判りますよね？

それにメール自体もいつものSMBCのイメージカラーである緑を使わずに味気の無い
質素な文章のみのメールになってます。
やはり、面倒臭くなってきたのでしょうか？（笑）

では、色々とウソを暴いていきましょう♪

メールヘッダーに残された事実とは？！

メールのヘッダーソースから色々と調べていきますね。
まずエラーメール返信に使われる”Return-Path”フィールドには「isr@bbmaqbywf.asia」と
発信元のメールアドレスと同じものが記載されています。
また”Message-ID”にも同じ「@bbmaqbywf.asia」ってドメインが刻まれています。

ところが、サーバーを通過する際に自動で刻まれる”Received”フィールドの時系列の一番
古いフィールドを見ると、このような記載になっています。
「 (v150-95-221-55.ydvw.static.cnode.io [150.95.221.55])」
”Received”フィールドの時系列の古いものが差出人の情報になるので、このIPアドレスが
犯人の居場所。
それにこの”static.cnode.io”ってドメインはフィッシング詐欺メールのご常連(笑)
居場所はここです。

では、先ほどのメールアドレスに使われてる”bbmaqbywf.asia”ってドメインは本物なのか？

「No match for domain “BBMAQBYWF.ASIA”」とあるのでウソみたいですね(;^ω^)

では今度はメールに記載されているリンク先のURLから調べてみます。
そのリンク先のURLはこちら。

これも同じように調査してみると…

どこまで本当の情報か分かりませんが、中国から昨日10月30日に1年契約で登録されています。
そして、このドメインは”91.195.241.136”ってIPアドレスに割当てられているようで所在の
所在はドイツのケルンと言う街が推定されました。

現在もリンク先の偽サイトは稼働中です。
そのサイトを運営しているサーバーがドイツのケルンにあることがこれで分かりましたね。

今回の調査では、三井住友銀行のメールが実在しないドメインを使ったメールアドレスから
送信られてきており、そのメールに貼られたウェブサイトのリンク先アドレスのドメイン
登録者が中国人。
そしてそのウェブサイトを動かしてるサーバーがドイツあるなんて…
こりゃどう考えてもおかしいでしょ！？
ま、件名にあるように[spam]って追記されているのでメールサーバーでは既に悪意のある
メールだって証明されていますがね(笑)

こういったメールがもの凄く多くなっていますので皆さんくれぐれもお気を付けて！