『詐欺メール』三井住友銀行から「カードお届け内容のご変更受付のお知らせ」と、来た件

またSMBCか

ただでさえ憂鬱な週明け月曜の朝なのにメールアプリを立ち上がるとスパムメールの嵐。
初っ端からの処理にうんざりっす。((+_+))

これはその中の1通でサーバーに残されていた迷子メールです。

ご覧いただく通り「三井住友銀行」を騙ったフィッシング詐欺メールです。

「三井住友銀行」の詐欺メールって日本語スキルの高いものが多かったんですが、
このメールは文章のスキルは高いですが句読点の使い方がおかしいですね。(^^;

宛先は遠の昔に退社した元スタッフ宛の物。

件名は「[spam] カードお届け内容のご変更受付のお知らせ 761749」
ご丁寧に通し番号までついてますね(笑)
もちろん[spam]と記されてるんでサーバーが悪意のあるメールと判断した証拠です。

差出人：「”三井住友カード” <contact@smxxbc-overrfy.top>」
”.top”なんてドメインとても怪しくて危険な香りがします！

では、次の項で詳しく調べてみましょう♪

国内銀行がシンガポールからメールを？！

メールにはその内容や差出人などの情報を格納してあるヘッダーソースってところが
ありますがご存じでしょうか？
スマホアプリだと見れるかどうかわかりませんが、デスクトップアプリやGmailなど
では表示法を切り替えれば簡単に見ることができると思います。

このメールヘッダーから差出人の情報を見ていきます。
まず、受信側が何らかの問題でメールを受け取ることができなかった際に返信される
エラーメールの返信先がヘッダーの”Return-Path”フィールド。
このメールの”Return-Path”は差出人のアドレスと同じ”contact@smxxbc-overrfy.top”と
普通に書かれています。

今度は、”Received”フィールド。
ここはそれぞれの送受信サーバーが自動で刻む情報で、複数あるうちの一番下にある
”Received”が差出人がメールを送る際に使われた送信サーバーの情報です。
このメールの場合は以下のように書かれています。

この中の”137.220.181.243”が差出人が利用した送信メールサーバーのIPアドレス。

早速このIPアドレスを調べてみます。

今現在の割り当て国はシンガポールと出ました。
ただ、IPアドレスは接続を切断し再接続すると変動するので、このメールを受取った時点と
現在では違う可能性もゼロではありません。

メールの句読点の使い方からすると、この犯人は海外の人間っぽいと思われますが
実際はどうなんでしょうか？

完コピサイトは現在も稼働中

では次にメールにあるフィッシング詐欺サイトのURLから調べます。

メールの後半にある「ログイン」と書かれたところにそのリンクは貼られています。

これがそのURLですが、ここは詐欺サイトではなくて接続するとすぐに以下のサイトへ
ダイレクトされます。

なのでこちらが本当の詐欺サイト。

詳しく調べようと思ったのですが、このメインは現在使われてないことになっていて
調査できませんでした。

ですが、偽のフィッシング詐欺サイトはこのように今現在も稼働しています。

稼働しているのにドメインが検索できないってことあるんですね…

三井住友銀行に本当にこのようなページがあるのか私は知りませんが、
かなり説得力のあるしっかり作られたウェブページですね。

あっ、感心している場合じゃありませんね…(汗)
とにかく現在も稼働中ですので、このようなメールを受取った方は
くれぐれも十分にご注意ください！