『詐欺メール』American Expressから「カードの一時利用停止は解除されました」と、来た件

「三井住友カード」メールと同じ内容(笑)

ブラックフライデーで浮かれてた11月末より、巷じゃあの”ニトリ”の偽サイト出現してるとか
噂だと複数のサイトがあるようなので要注意！
年末に向けて忙しい毎日、このような偽サイトが横行することが予想されますのでくれぐれも
お気をつけて。

ってことで、この話題はまた別のエントリーで詳しくお話しするとして、今回はまた新たな
刺客「American Express」を騙ったフィッシング詐欺メールについてご紹介します。

こちらがそのメール。
よーく見てください。

実は、メールボックスにこれと同じ内容で「三井住友カード」を装った詐欺メールも
届いていたりして　(^^;)

それがこちら…

あはは、本文の内容全く同じやん。
こりゃ同一犯グループ、完全に使いまわしています。

大手レンタルサーバーユーザーの仕業か？！

まずは件名、「 [spam] 【American Express】カードの一時利用停止は解除されました 871」
[spam]と付けられてるので、うちのサーバーで悪意のあるメールと判断されていますね。

「一時利用停止は解除されました」ってことは利用停止が解除されたってことでしょ？
本文では「カードのご利用を一部制限させていただき、ご連絡させていただきました。」
ってあるのになんか矛盾してますよね。
こりゃ犯人は日本語をよく理解していない人間かも知れませんよ。

差出人は「”American Express” <info@auccwallt.top>」とあります。
アメリカン・エキスプレスには全く関係のない”auccwallt.top”なんてドメインを使った
メールアドレスは絶対に信用してはいけません！
それ以前に、これ、装かもしれませんしね…(^^;

このドメインは現在シンガポールで使われているみたいです。

では次に、メールのヘッダーソースでメールのプロパティーなどを見ていきます。
まずはメールがエラーだった時の返信先のメールアドレスが書かれている”Return-Path”

”gtjipqj@xdsndkpbg.com”なんて差出人と似ても似つかないアドレスになっていますね。
もうこの時点で偽装の臭いがプンプン。

ほらね、”xdsndkpbg.com”ってドメインは現在使われていないと出ましたよ。

では、次に差出人のメールサーバーの在りかを調べます。
メールヘッダーの”Received”フィールドで時系列の一番古いものが差出人の使ったメール送信
サーバーの情報。
このメールの場合はこうなっています。

この中にある”163.43.131.56”ってのはそのサーバーのIPアドレス。
早速チェックしみましょう！

どこまでマスクすれば良いのかよくわかりませんが、大阪に本社のあるレンタルサーバー大手
「さくらインターネット」が持ち主のIPアドレスだとわかりました。
「さくらインターネット」自体がこんなことするわけないので、これはそのユーザーの仕業
ということなのかな？

質の悪い愉快犯の仕業

珍しく、このメールから詐欺サイトへの接続は本文自体に直接書かれてるURL文で
いつものような直リンクは貼られていませんね。

ん？…ドメインが”www.americanexpress.com”…ってことは…

不審に思ってつないでみると、やはりそう。
URLの接続先はアメリカン・エキスプレス正規サイトのログインページでした。

あらためて、検索からアメリカン・エキスプレス正規サイトのログインページに
行って本当のURLを確かめてみます。
”https://www.americanexpress.com/ja-jp/account/login?inav=iNavLnkLog”
ほらやっぱり、メールに書かれてたURLと同じだ！
ったく質悪い奴だ、こりゃ正真正銘の愉快犯の仕業だわ…

あっ、もしかして例のもう1通の「三井住友カード」の方はどうなんでしょうね？
あれに書いてあったURLがコレ。

つないでみると、「三井住友カード」が運営するサイトのエラーページにたどり着きました。

このページのURLは”https://s.vpass.jp/sec_error”

メールに書かれてたURLは存在しないのでエラーページに飛ばされた感じですね。

結局こちらも正規ドメインを使ったURLなので同じ愉快犯が送った迷惑メールと断定。

まぁ、こんなの実害とは言うものの気持ちの良いものでもありません。