『詐欺メール』ポケットカードから『最新のお客様情報のご登録をお願いします』と、来た件

★フィッシング詐欺メール解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます!

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆

 

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • 宛名を確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。

最初に1点だけ以下の件ご了承ください。
本来ならメールの本文をキャプチャー画像で貼り付ける方が見やすく正しいやり方かも知れませんが、全てを画像化してしまうとキーワード検索に引っかからなくなってしまい、これらのメールを受取って不安で検索される方が多く検索結果に繋がらないとこのブロブの意味が無くなってしまうので、あえて本文を丸々コピペしてテキストにてできるだけ受け取ったメールに近い表現になるとうにした上で記載しています。

では、進めてまいります。

前書き

皆さんの所には届いていませんか?
このタグのような文字と記号が大量に書かれている気色の悪いメール。
私のところには結構届いていて、気色悪さから取り上げないようにしていますが、今回はあまりに怪しいのでご紹介してみようと思います。

では、今回も詳しく見ていくことにしましょう。

以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。

メール本文

ここから本文
↓↓↓↓↓↓

件名:[spam] 最新のお客様情報のご登録をお願いします
送信者: “ポケットカード" <order-dqlgticyd@service.cey92.com>

ビューカード

[%1-6个随机属性]>[%1-6个随机属性]>

[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>

[%1-6个随机属性]>[%1-6个随机属性]>

[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>

[%1-6个随机属性]>[%1-6个随机属性]>
最近行われました弊社プライバシーリシー及び各カード会員規約の改定に伴いまして、

[%1-6个随机属性]>[%1-6个随机属性]>
お客様のポケットカード会員情報の確認をお願い致したく、

[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>
よるくお願い申し上ます。

[%1-6个随机属性]>
確認のお手続きは、一回に限り、数分で終了致します。

[%1-6个随机属性]>
なお、この確認お手続きは義務付けられており、確認していただけない埸合は、アカウントが停止される場合もあります。

[%1-6个随机属性]>
[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>

ログイン

[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>
今後とも会員の皆様にご満足いただけるカードとなりますよう、サービス向上に努めて参ります。
引き続き変わらぬご愛顧を賜りますよう、心よりお願い申し上げます。

[%1-6个随机属性]>
[%1-6个随机属性]>[%1-6个随机属性]>

[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>

[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>

[%1-6个随机属性]>
[%1-6个随机属性]>
[%1-6个随机属性]>
[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>
[%1-6个随机属性]>[%1-6个随机属性]>
[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]> [%1-6个随机属性]>
[%1-6个随机属性]>

Copyright © Pocketcard Co,Ltd.td. All rights reserved.

[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>
[%1-6个随机属性]>[%1-6个随机属性]>[%1-6个随机属性]>
[%1-6个随机属性]>[%1-6个随机属性]>

↑↑↑↑↑↑
本文ここまで

私も誤字脱字が多いですが、このメールもかしこまった文章ながらおかしなところが多々ありますね。

実際の本文が見難くなるので、怪しいタグ部分はクレーアウトさせていますが背中がゾクゾクしますよね😖😖
この”[%1-6个随机属性]”について ChatGPT に質問してみると、このように回答されました。

これは中国語圏のゲームやサービスによくある表記で、「ランダムで1~6個の属性が付く」という意味になります。
日本語に自然に訳すと:※本アイテムにはランダムで 1~6 個の追加効果(属性)が付与されます。

だそうです。
でもこれをメールに書く必要ってありませんよね。
これは恐らくワードサラダではないかと考えます。
ワードサラダについては以下のページで特集していますので詳しくはそちらをご覧ください。

『詐欺メールに付き物』「ワードサラダ」とは?

この本文は、メールからそのままコピペしたのですが、なぜか冒頭に「ビューカード」と書かれています。
あれ?ポケットカードじゃなかったっけと思ってメールを見返してもどこにもビューカードなんて書かれていません。
実はこれ、実際のメールの冒頭にあったこのバナーの名前でした。

ビューカード

メールの本文をコピペする際に画像が貼りつかないように ”Ctrl + Shift + V”を使い「書式なしで貼り付け(プレーンテキストで貼り付け)」 でペーストしたため、画像が画像名でペーストされたものでした。
それにしてもなぜポケットカードのバナー名がビューカードなのでしょうね。

書いてある内容は、よくある詐欺メールなので説明は不要ですよね。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合、注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと否応なしに「迷惑メール「」フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は「service.cey92.com」
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません

最近の怪しいメールの傾向ですが、サブドメインに”service”があるものは危険なメールのサインです。

因みにポケットカードが利用するメールアドレスのドメインは「pocketcard.co.jp」です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。

Received: from service.cey92.com (service.cey92.com [104.168.64.2])

ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません
では、試しにドメイン「service.cey92.com」に関する詳しい情報を「Grupo」さんで取得してみます。

この情報が正しければ、このドメインの取得者は中国の方です。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、ニューヨークのバッファロー付近です。

最近この辺りは、怪しいメール発信地のトレンドです。

宛名を確認

このような大切なメールの冒頭には通常「◎◇△ 様」と言ったように「宛名」が書かれていますが、でもこのメールにはその宛名が存在しません。
でも仮にもしこれが本当にポケットカードからだとすれば、ユーザーの氏名を絶対知っているはずですから宛名が無いのはとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。

リンク先のドメインを確認

さて、本文の「ログイン」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。

【h**ps://pocketcard-aarium.bwqiau.cn/netservice/login/】
(直リンク防止のため一部の文字を変更してあります)

これまたポケットカードのドメインとは異なる中国のものが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を「Grupo」さんで取得してみます。

この情報が正しければ、このドメインの取得者は調査では頻繁に見掛ける氏名の中国の方です。

割当てているIPアドレスは「172.67.191.254」
IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページでこのように、「本人確認」と称し更にクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

まあこの怪しいタグを見たら誰もリンクに行く勇気はないでしょう。
もしかして環境によってはこのタグが見えていないかも知れないので取上げさせていただきました。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

 

迷惑メール[%1-6个随机属性]>,bwqiau.cn,IPアドレス,service.cey92.com,SPAM,アカウントが停止される,こ確認,ドメイン,ドメインを確認,なりすまし,ビューカード,フィッシング詐欺,プライバシーボリシー,ポケットカード,ワードサラダ,不正利用,中国語,件名の見出し,会員情報,会員規約の改定に伴い,偽サイト,偽メール,宛名を確認,拡散希望,注意喚起,申し上けます,詐欺,詐欺メール,迷惑メール

Posted by heart