【危険】『【重要】カードのご利用確認のお知らせ(自動配信)』は偽物、実例と見分け方
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
いつもご覧くださりありがとうございます!
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
前書き
セゾンカードから、宛名に私のメールアカウントを使ったメールが届きました。
何やらきな臭く怪しく不審なメールなのでご紹介していこうと思います。では、詳しく見ていくことにしましょう。
あっと、その前に!
これらのメールは開いただけなら被害に遭うことはありませんので先にお伝えしておきますね!
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 【重要】カードのご利用確認のお知らせ(自動配信)
送信者: “SAISON CARD Netアンサ" <no-reply@pakistanvisaonline.org>
Saison CardNet アンサー
「私のメールアカウント」お客様
いつもセゾンカードをご利用いただき、ありがとうございます。
このたび、弊社の不正検知システムにおいて、お客様がお持ちのカードのご利用内容に、第三者による不正利用の可能性が検知されました。
そのため、お客様のカードのご利用を一時的に制限させていただいております。
ご不便をおかけして申し訳ございませんが、ご本人様のご利用であるかどうかの確認をお願いいたします。
以下のリンクより、ご利用確認画面へお進みください。
▼ ご利用確認はこちら
※ 24時間以内にご確認いただけない場合、カードのご利用制限が継続される可能性がございます。
※ 本メールは送信専用のため、ご返信いただいてもお答えできません。
株式会社クレディセゾン
〒170-6073 東京都豊島区東池袋3-1-1 サンシャイン60
Copyright © Credit Saison Co., Ltd. All Rights Reserved.
Saison Card Netアンサー ID・パスワードの管理には十分ご注意ください。
本文ここまで
※本記事は注意喚起目的で掲載しています
端的に言って、これは高い確率でフィッシング詐欺メールの類です。
その理由と対処法を整理します。
不審・危険なポイント
- 送信元メールアドレスのドメインがおかしい
表示名は「SAISON CARD」なのに、実際の送信元は「no-reply@pakistanvisaonline.org」です。
これはパキスタンのビザ関連店が取得されているもの。
セゾンカード(saisoncard.co.jp など)とは無関係なドメインで、パキスタンのビザ関連ドメインを使うことは絶対にありません。 - 宛名が不自然
宛名が「『私のメールアカウント』お客様」になっていていかにも怪しすぎます。
本物のセゾンカードなら、ここには私の氏名の一部が入ります。 - 不安を煽って即クリックさせる典型文
「不正利用の可能性」「24時間以内」「利用制限」などは不安を煽る言葉で、フィッシングでよく使われるテンプレです。
推奨される対応
- メール内のリンクは 絶対にクリックしない
- このメールは削除する
- 不安ならセゾンカード公式アプリもしくは公式サイトを自分で検索してログインし、利用制限や通知が本当に出ているかを確認する。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダー情報を確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from pakistanvisaonline.org (unknown [155.117.45.232])
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
このドメインを割当てているIPアドレスを「whois.domaintools.com」さんで取得してみます。
このWHOISから分かる決定的ポイント
Received のカッコ内にあったIPアドレスと全然違いますよね、この結果からこの送信者が使ったとされる「pakistanvisaonline.org」を使ったメールアドレスは偽装であることが確定です!!
このReceivedフィールドの末尾にあるIPアドレスからそのロケーション地を「IP調査兵団」で導き出してみると、米国のカンザスシティ付近です。
送信元の正体は
- プロバイダー名 WholeSale Internet, Inc.
これは米国のデータセンター/ホスティング業者で、VPS・専用サーバー貸しが主用途です。
銀行・クレカ会社が「会員向け通知メール」を送る回線ではありませんね。 - 海外サーバー経由
送信元のIPアドレスを解析した結果、サーバーは日本ではなく アメリカ合衆国ミズーリ州カンザスシティ に所在しています。
国内の金融機関がそのようなところのサーバーを介してメールを送るなんて考えられませんよね!
リンク先のドメインを確認
さて、本文の「▼ ご利用確認はこちら」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://sfuhfrp-com.translate.goog/?_x_tr_sl=auto&_x_tr_tl=ja&_x_tr_hl=en&_x_tr_pto=wapp】
(直リンク防止のため一部の文字を変更してあります)
これは「translate.goog」が含まれているので「Google翻訳」の機能を悪用して、偽サイトの正体を隠そうとしている非常に危険なリンクです。
完全にGoogle翻訳を「踏み台」にしています。
このURLは、本物のGoogle翻訳のドメイン「translate.goog」を利用して、その枠組みの中で別の怪しいサイト「sfuhfrp-com」を表示させる仕組みになっています。
その目的は、セキュリティソフトやブラウザの「詐欺サイトブロック」機能を回避するためで、実際に表示される中身は、Googleとは無関係の「sfuhfrp-com」というサイトです。
もうお分かりですよね!
「sfuhfrp-com」はは明らかに異常です。
セゾンカードの正規のログインURLは「saisoncard.co.jp」を含みます。
「sfuhfrp-com」のような意味不明な英単語のドメインは、セゾンカードとは一切関係がありません。
URLが危険と判断できるポイント
- 「sfuhfrp-com」は全く意味がありません。
これは意味のないランダム文字列で自動生成された文字列の可能性が高くフィッシング専用ドメインの典型命名だと思われます。
なぜ短いランダム文字なのか
・ブラックリスト回避
・既存単語は検知されやすい
・量産しやすい
・ボットで大量作成
・使い捨て前提
・数日〜数週間で廃棄 - なぜ -com を含めるのか
本来のドメインは恐らく「 sfuhfrp-com.com」のような形であると思われますが、「-com 」を名前に含めることによって
・一瞬「.com に見える」
・スマホ表示で誤認させやすい
・高齢者・非IT層向け詐欺で多用
「sfuhfrp-com」に単体でアクセスするとすでに無効化されていて「404エラー」が返されました。
恐らく別の詐欺ページ に差し替えた可能性が高いです。
まとめ
メールの文面や送信者のメールアドレスとリンク先のドメインが「セゾンカード」のものと異なるのでこのメールを詐欺メールと判定いたしました。
リンクは既に無効化されているので安全です。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;