『詐欺メール』三菱UFJ銀行から「重要：必ずお読みください」と、来た件

詐欺メールのウソを暴く！

新型コロナウィルス感染の波は大きくなったり小さくなったりを繰り返しながら
納まりを見せませんね。
このまま冬を迎えてしまうのでしょうか？…

そんな週末も例の奴らは相変わらず活動を緩めてくれません。
今日も朝から「三菱UFJ銀行」を騙るフィッシング詐欺メールが届きました。

件名は「[spam] 【三菱ＵＦＪ銀行】重要：必ずお読みください」
行頭に”spam”と書かれているのは、うちの受信サーバーが悪意のあるメールを感知した証拠！
時々間違いもありますがこのスタンプが付いてるものは要注意ですね。

ではこのメールのプロパティーから確認していきます。

差出人：「三菱ＵＦＪニコス銀行 <account_post@tr.mufg.jp>」
このメールアドレスに使われているドメイン”tr.mufg.jp”は正規三菱UFJ信託銀行のものですが
この差出人フィールドは誰でも簡単に変えられるところなので油断は禁物！
怪しいメールはメールのヘッダーソースを確認する必要があります。
差出人に不審を感じたら、まずは”Return-Path”。
ここは差出人が出したメールの送信先に問題があった場合に不達の連絡メールを返すための
アドレスを示します。
このメールの場合”jy@lnzajrgv.us”なんて三菱UFJ信託銀行に全く関係のないアドレスが
記載されていますよね？
これで偽りのメールアドレスであることが確定です！

”Return-Path”と差出人メールアドレスが一致しても安心はできません。
更にもう一箇所確認する必要のあるフィールドが”Received”フィールド。
ここはメールが送信、受信サーバーを通過した際に自動的にサーバーの送信サーバーで1つ
受信者の受信サーバーで1つ刻まれます。
なので、送信者の情報は一難下に記載される時系列の一番古いものとなります。

ここで刻まれる情報は6つ。

故にこの”Received”フィールドを見る事で送信元のサーバー名とサーバーのIPアドレスが
取得できるわけです。

説明が長くなってしまいましたが、このメールの該当する”Received”がこちら。

これによると、送信者は”lnzajrgv.us”と言うサーバー名の”103.140.238.194”ってIPアドレスで
運用されるサーバーからメールを送信したことが分かります。

ざっくりとこのIPアドレスの割り当て国を確認してみたところ、こんな見飽きた地図が
表示されました。
このサイトではしょっちゅう出てくる所、そう、香港です！

では続いて”lnzajrgv.us”ってドメインについて調べていきます。
このドメインは、”Return-Path”や”Received”にも記載されているので、送信元を突き止める
にはかなり信憑性の高い情報です。

が、しかし、残念ですが既に破棄されてしまったのかどこからも情報を取得することは
できませんでした。

偽サイトは現在も稼働中

次に本文を確認します。
とはいっても内容はいつもと同じで脅し文句ばかり。
今回のメールは日本語スキルも高くしっかり書かれているので本文だけで詐欺メールと
見破るのはかなり難しい感じ。
そこで注目したいのは、犯人特定に重要な本文に記載されているリンク先のアドレス。
このメールの場合はこちら。

ここはフィッシング詐欺サイトへつながる部分なので皆さんは不用意にクリックしたりしないで
くださいね。

URLに使われているドメインは”taipei-nightclubs.com”
ん、「台北ナイトクラブ」？？　またなめたドメインですね～！

実際に繋いでみたところ、ウィルスバスターに一旦は遮断されたものの現在も元気に稼働中。

危ないです！！

犯人の特定につながる”taipei-nightclubs.com”ってドメインについて調べてみましょう。

割当てられてるIPと割り当て国は分かりましたが、悪意を持って申請したのか、登録情報は
ほぼ隠匿されていますね..
でも他のサイトで調べるとこんな情報が…

そして、この偽サイトを稼働させているウェブさーばーの在処がここ。
アメリカワイオミング州シャイアンって街。

こんな所にサーバーを置いて運営しているんですね。

私のできる事はここまで。
三菱UFJ銀行が香港のメールサーバーを使いメールを送り、アメリカでウェブサイトを運営する
なんて馬鹿げた話はありません。
ほんと質の悪い輩が多いのでお気を付けくださいね。