『詐欺メール』『SMBCモビットのアカウントに異常が検出されました。再アクティベーションが必要です。』と、来た件
★フィッシング詐欺メール解体新書★
「生成AI」が普及し増々便利になる私たちが生活する世の中。
詐欺師もこれを逃すはずが無く、怪しいメールにも生成AIが浸透しつつあり
最近では片言の日本語ではなく、違和感のない流暢な言葉を使うメールが多くなりました。
このブログは、悪意を持ったメールを発見次第できる限り迅速にご紹介し
一人でも被害者が少なくすることを願い、怪しく危険なメールを見破る方法の拡散や
送信者に関する情報を深堀し注意喚起を促すことが最大の目的です。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
最初に1点だけ以下の件ご了承ください。
本来ならメールの本文を画像でお見せする方が分かりやすいかも知れませんが、全てを画像化してしまうとGoolgeなどのキーワード検索に反映されず、不審なメールを受取って不安で検索される方に繋がらない可能性が高くなります。
できる限り沢山の方に見ていただき情報が拡散できるようにあえて本文を丸々コピペしてテキストにてできるだけ受け取ったメールに近い表現にした上で記載しています。
では、進めてまいります。
前書き
今回ご紹介するのは「SMBCモビット」と称する怪しいメールのご紹介となるのですが、その前に少し気になることがるのでそれを書いておこうと思います。
今年の1月末頃にこのようなブログを書いています。
この記事から引用すると、多い時には一晩に400通ほど届いていたこれらの怪しいメールが、中国や台湾、香港など中華圏における旧暦の正月春節を迎えると急減したと書いています。
一般的に詐欺師は中華系が多いと聞いており、これはおそらく詐欺師がこのタイミングで休暇に入ったことがその理由で、それが証拠に春節が終わったとたんに急増しました。
これと同様に7月下旬から急に怪しいメールが激減していて、今朝なんかは16通ほどしか届いていません。
これってもしかして詐欺師は夏休みに入ったことが原因なのでしょうか?
だとすれば、その夏休みが終わるまでは比較的少ない状況が続くということになります。
数年こういったメールを追跡してきていますが、今までに感じたことの無い真夏の激減ですが、さて、実際にはどうなのでようね。
暫く様子を見たいと思います。
では、「SMBCモビット」に成り済ます怪しいメールを今回も詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] SMBCモビットのアカウントに異常が検出されました。再アクティベーションが必要です。
送信者: “SMBCモビット" <shirotaakari@kamst.com>
※配信停止こちら。
SMBCモビットのアカウントに異常が検出されました
アカウントを再アクティベートする必要があります
下記ボタンから公式サイトにアクセスし、アカウントの再アクティベーションを行ってください
SMBCモビットにログイン
■再アクティベーション手順
1. 上記ボタンからSMBCモビット公式サイトへアクセス
2. ユーザーIDとパスワードでログイン
3. 表示される手順に従い本人確認を完了
■対応期限
2025-07-26までに手続きを完了してください
■未対応の場合
・アカウントが利用停止となる可能性があります
・サービスが制限されます
■重要なお知らせ
・SMBCモビットはメールで個人情報の入力を求めることはありません
・不審なリンクをクリックしないでください
・必ず公式サイトから直接手続きを行ってください
※本メールは送信専用です。返信できませんのでご了承ください
━━━━━━━━━━━━━━━━━━━━━━━
■発行:SMBCモビット
メールマガジンの配信停止、メールアドレスの変更について
↑↑↑↑↑↑
本文ここまで
SMBCモビットとは、三井住友カードが運営している信頼性が高いカードローンのこと。
このメールはそのアカウントに異常が発生していて、アクティベートが必要だとし、リンクから再アクティベーションを行うように誘導するものです。
このメールには、冒頭と末尾に「配信停止」のリンクがつけられています。
でもよく考えてみてください。
このようなアカウントの異常に関する大切なメールに「配信停止」っておかしいですよね?
それに末尾には「メールマガジンの配信停止、メールアドレスの変更について」と書いてありますが、これはメールマガジンだったのでしょうか?
いくら何でもこれはおかしすぎます。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合、注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は「kamst.com」
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにSMBCモビットが利用するメールアドレスのドメインは「mobit.ne.jp」です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from amps-web.biz (host73.200-117-56.telecom.net.ar [200.117.56.73])
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできませんので覚えておいてくださいね。
本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる「amps-web.biz」なんてドメインが記載されていますね。
これで送信者のメールアドレス偽装はほぼ確定!
さらに「telecom.net.ar」とも書かれていますよね。
このカッコ内に書かれている内容は、メールサーバーが自身で刻むものなので偽装はできない部分で嘘は書けません。
「telecom.net.ar」について調べてみると、アルゼンチンを中心に南アメリカで通信サービスを提供「Telecom Argentina S.A.」が保有ドメイン名の一つで、主に同社のインターネットサービスプロバイダーおよびメールサービスに関連して使用されるドメインである可能性が高いとの事。
故にこのメール送信者は、この「Telecom Argentina S.A.」のメールサーバーが利用できる人物であるとわかりますよね。
では、これらのドメインを割当てているIPアドレスとこのReceivedのIPアドレスを比較してみましょう。
こちらが「aWebAnalysis」さんで取得したこれらのドメインに割当てているIPアドレスです。
まずは、メールアドレスにある「kamst.com」から。
全然違いますよね。
これでこの送信者のメールアドレスは偽装が確定しました。
次に「amps-web.biz」
これも全く異なりますね。
いったいどれだけ偽装すれば気が済むのでしょうか?
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、アルゼンチンのロス・トルドス(Los Toldos)付近です。
宛名を確認
このような大切なメールの冒頭には通常「◎◇△ 様」と言ったように「宛名」が書かれていますが、でもこのメールにはその宛名が存在しません。
でも仮にもしこれが本当にSMBCモビットからだとすれば、ユーザーの氏名を絶対知っているはずですから宛名が無いのはとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。
リンク先のドメインを確認
さて、本文の「SMBCモビットにログイン」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://l1ij1b.top/M01bLt/】
(直リンク防止のため一部の文字を変更してあります)
これまたSMBCモビットのドメインとは異なるものが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を「Grupo」さんで取得してみます。
この情報が正しければ、このドメインの取得者の所在地は中国湖南省です。
割当てているIPアドレスは「43.165.190.236」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、東京都杉並区付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。
リンクを辿ってみると、まずはGoogleChromeにブロックされました。
解除して進むと、今度はウイルスバスターにブロックされましたので相当危険なサイトが潜んでいるようです。💀💀
更に解除して進むと開いたのは「404 Not found」とだけ書かれた真っ白なページ。
恐らくこのサイトを設置したレンタルサーバーがその危険を察知して削除したものかと思いますが、セキュリティにブロックされたことが、ここには以前危険なサイトが存在していたことを物語っていますね。
まとめ
だいたい私、SMBCモビットユーザーじゃないのでこんなメールもらっても全然関係ないのですが、こちらのユーザーの方は十分にご注意ください。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;