『詐欺メール』JCBから「いつも弊社カードをご利用いただきありがとうございます」と、来た件

何故アマゾンのアドレスを使うの？

土曜日だって言うのに朝からスパムの猛攻を受けています(-_-;)

今朝はまずはこんなメールから。

このメールは金融機関のJCBを騙ったフィッシング詐欺メール。
なんかこの「不正利用監視システム」ってSMBCや楽天を騙ったメールに多い気がします。

では、このメールのプロパティーから詳しく見ていきましょう♪

まずは差出人と件名。
差出人は「myinfo <admin@Amazon.co.jp>」で
件名は「[spam] いつも弊社カードをご利用いただきありがとうございます。」
こんなのぱっと見完全にアマゾンからだと思いますよね？
実はJCBを騙ったメールなんです。
そしてこの危機感の無い件名…
普通、もしどこかを騙ってフィッシング詐欺をはたらくのであれば、もっと心理を煽るような
件名にするんじゃないかと思うのですが。

もちろん”admin@Amazon.co.jp”ってメールアドレスは偽装。
エラー時の返信先の”Return-Path”も同じように偽装されていましたので残る犯人の
手掛かりはメールサーバーが自動で刻む”Received”。
犯人の利用した送信サーバーの”Received”がこちら。

ここにホスト名とIPアドレスが記載されていますので、これを基に調査を試みると…

調査結果は見ての通り、送信に使われたサーバーはアメリカワシントン州です。
このIPアドレスに割り当てられている”hwsrv-822593.hostwindsdns.com”ってドメインは
2011年5月にアメリカワシントン州から申請されていますが、登録者の情報は全てマスク
されていますね。

例によって偽のMyJCBサイトへ

では本文を見ていきましょう。

ここまで差出人の手掛かりは”admin@Amazon.co.jp”ってメールアドレス以外特定できる
材料はどこにもありませんね。
ただ「24時間365日体制でカードのご利用に対するモニタリングを行っております。」
とあるので、私は最初アマゾンカードを騙ってるのかな？と思いました(笑)

その先を見ると「■発行者■株式会社ジェーシービーセキュリティーデスク」とあり
ようやくここでこのメールはJCBカードを騙ったんだなと…(^^;)

そしてこの営業時間のところ、文字が化けちゃっていますね(汗)

さて、このメールに付けられている詐欺サイトへのリンクですが、URLは最初に付けた
上の画像の通りです。
つないでみると、いったんウイルスバスターに遮断されましたが、危険を承知で
リンク先に進むと下のようにセキュリティーチェックの画面が表示されました。

そしてその先はこんなサイトにつながりました。

このサイトで使われているドメインは”my-jcb.thewoodpanellingcompany.com”
このドメインを例によって調査してみると…

ドメインの申請は中国からで現在はアメリカカンザス州で使われているようです。
それにしてもこの申請日2021年1月28日って…
今日が1月9日だからどういうわけか分かりませんが未来になっていますね(汗)

実際に私はMyJCBのユーザーじゃありませんので、嘘のユーザーアカウントじゃやないと
この偽サイトにはログインすることができません(笑)
どこで私のアドレスを拾ってきたのか知りませんが、アマゾンや楽天などを騙ったメールでも
言えることですが、奴らはユーザーだろうがそうじゃなかろうが数打ちゃ当たる精神で
仕入れたメールアドレス宛に無作為にメールを送り付けています。
今回のメールのようにアマゾンのメールアドレスでJCBを騙るなんて愉快犯的なメールだと
簡単に見破れますが、もし受信者が本当のユーザーでもっと巧妙なメールだったらと考えると
一般の方々だと騙されてしまうかもしれませんね。

あっ、また次の詐欺メールが届いたようなので本件に関してはこの辺にしておきます。