『詐欺メール』ロシアから「三井住友カード」のメールが届く件

SMBC系の迷惑メールが多くなってる

このエントリーのURL見てください！
”spam-mail”のパーマーリンクが今回で299本目となりました、いよいよ300越えですね！！
果たして記念すべき300本目はどんな内容になるんでしょうか？！
とても楽しみです(*^^*)

そんな事はオーディエンスには関係ありませんですね。(^^;
さて、今回のタイトルは『「三井住友カード」から次々とメールが届く件』
私だけでしょうか、最近、アマゾンのなりすましより「三井住友」系のメールが心なしか
多くなってきました。

どれも同じような手口を使って偽の完コピサイトからログインさせようとするもの。
SMBCのイメージカラーである緑色の配色を使ったカラフルなメールの場合もありますが、
白黒で文字だけの地味なメールの場合もあります。

SMBC系も含め何度かご紹介していますが、今回はこの内で同じ件名なのに
内容に若干違いがあるものが届いたのでご紹介しようと思います。

メールのヘッダーから解析

件名は「[spam] ＜重要＞【三井住友カード】ご利用確認のお願い」

まずそのメールのプロパティーはこちら。

差出人には「三井住友カード <mail@contact.vpass.ne.jp>」と記載されています。
でも、エラー時の返信先となる”Return-Path”には「kpx@rn1h5v.cn」なんて中国ドメインの
アドレスが見え隠れしています。
このドメインは偽装かも知れませんが、一応確認してみるとこんな情報が…

「45.156.24.6」ってIPアドレスに割当てられていることが分かりますよね。

メールの差出人に一番近い情報を得るにはメールヘッダーの”Received”を確認するのが最適！
ってことで、時系列が一番古い”Received”フィールドのIPアドレスを取得。

「45.156.24.6」ってIPアドレスは「rn1h5v.cn」って”Return-Path”で見えたドメインに
割当てられているものと同じ。
ご承知の通り、クライアントに振られてるIPアドレスは世界で1つだけなので
もう限りなく「kpx@rn1h5v.cn」ってメールアドレスは送信先の本物アドレス。
で、このドメインを使ってるサーバーの位置情報はここ！
ロシアのモスクワに近いトゥターエフって街にあるようです。

メールサーバーもウェブサーバーもロシア！？

そして本文の内容はこんな感じ。(体裁の良いところで改行入れてあります)

まず真っ先に気になるのが送信元として書かれてるメールアドレス。
なんで全角なの？　めちゃくちゃな違和感です(^^;

SMBC系のフィッシング詐欺メールでは最近「不正利用監視システム」ってのが
お気に入りなようでいつも本文に使われていますね。

本文に貼られてるリンク箇所は2つでどちらも青文字のところ。
そのURLはこんなクソ長いドメインから始まるヤツです。

こんなの繋いでも楽しくないので、ここに使われているドメインについて
調べてみましょう。

さっきのメールにあった”Return-Path”のドメインで見たおんとよく似てますね。
今度も所在はロシアでヤロスラブリって街は先程のトゥターエフって街から直線距離で
20km程のところ。
この広い地球の中で20kmしか離れてないなんて、この2つのドメインの関連性はめちゃめちゃ
怪しいじゃやないの！!

SMBCなんて金融会社のサーバーがロシアなんて絶対おかしいじゃありませんか！？
さっきのURLから偽のSMBCサイトに行ってみると、現在も稼働中です。
とても危険なので絶対にし近づかないでください。

こういったサイトを訪れるときは必ずアプリでね！