『詐欺メール』「【P-one】カードご利用確認」が、毎日送られてくる件

定期購読なんて頼んでないけど？！

先日ご紹介した「P-oneカード」を騙るフィッシング詐欺メールですが、定期便を頼んだわけ
でもないのにこのところ毎日送られてくるようになりました。(^^;

書かれてる内容は全く同じ文章ですが、当然詐欺サイトへのリンクURLが異なります。
当然と書いたのは、彼らは足が付かないように始終URLを変更しているからです。

今朝届いていたメールがこちら。

相変わらず気色悪い中華フォント”Yahei”が使われていますね…
もう少し見やすいフォントは使えないのでしょうか(笑)

偽装を見破る！

では、いつものようにメールのプロパティーから確認していきます。

件名は「[spam] 【P-one】カードご利用確認」
[spam]はうちの受信サーバーが付加したもので悪意のあるメールであることの注意喚起。

差出人は「pocketカード株式会社 <account_post@pocketcard.co.jp>」
これは今までのものと同じですが、こんなのもちろん偽装されています。
その証拠にエラーメールの返信先の”Return-Path”に”widinuufn@wgrechkm.co”なんて
全く関連性のないメールアドレスが記載されています。
でも、ここも偽装できるので鵜呑みにはできません。
このドメインを調べると、やはり”No Data Found”と出て使われてないものと判明しました。

メールのヘッダーを下の方へツラツラと見てると出てくる”Received”。
これはメールが経由してきたそれぞれのサーバーが勝手に刻む情報。
この中の差出人が使ったメールサーバーの情報が書かれた”Received”がコレ。

また”static.cnode.io”ですね…手広い輩だなぁ…

まぁそれは置いといて、ここに書かれてる「118.27.79.119」ってIPアドレスが差出人が
利用したサーバーの物。
調べるまでありませんが、輩はこのように国内の首都にいます。

ウェブサイトは先日と同じNYにあり

今回のメール本文に記載されていた詐欺サイトのURLがこちら。

ご覧のようにURLが”http”から始まるものですが、こういった金融機関やECサイトなどの
セキュリティーが絶対条件なサイトは、暗号化された通信路を使う”https”が必須。
ですから、ここを見ただけでもこのサイトがインチキだということが分かります。

このURLに使われている”yiruncaifu.com”ってドメインを調べてみると、先日と同じように
アメリカ合衆国のニューヨーク州にあるバッファローが特定されました。

URLに接続してみると、現在もフィッシング詐欺サイトは稼働中。
一応トレンドマイクロ社からの注意喚起が出るようになっていましたが要注意です。
(ウィルスバスターユーザーのみ表示されます)

さて、「先日紹介したエントリー」の詐欺サイトですが、あれから3日経った現在は
どうなっているのしょうか？
ちょっと気になったので調べてみることにします。

あの時のURLはこちら。

接続してみると、案の定既にトレンドマイクロ社から注意喚起が出されるように
処理が行われていました。(これはウィルスバスター利用ユーザーのみ表示されます)

ただし、無視して先へ進んでみると今現在も詐欺サイトは運営されていました。
やはり海外設置だとなかなか規制できないのでしょうか？

先日も某TV番組で物まねタレントさんが、アマゾンのフィッシング詐欺メールに騙され
ユーザー情報を詐取された上に、50万円もの家電商品が購入されて被害に遭ったことを
お話になっていましたね。

メールをよ～く見ればわかると思うのですが、不注意ですよね。
メールを信じてしまうと、その先にある偽サイトは作りが精巧でかなり巧妙なため
見破るのはなかなか難しいと思います。

とにかく、金融機関やカード会社、ECサイトなどのメールには十分に注意を払って
ください。