『詐欺メール』三井住友カードから「ご利用確認のお願い」と、同じだけど違うメールが2通届いた件

同じようで違う2つのメール

最近アマゾン以外に多いのがこの三井住友系を騙った詐欺メール。
書き方が少し違うもののおんなじような件名の2通がそろい踏み。
これ、1通目が私の仕事用のメールへ、もう一つが私用のメールへ届いたもの。

双方の本文を比較してみると。

中身は全然別物ながら内容としては不正ログインが考えられるので記載されたリンクから
誘導するウェブサイトへログインしてアカウントの情報を確認してくださいって感じ。

犯人の性格が出てる(笑)

それでは今度は双方のメールのプロパティーとヘッダーソースを比較してみましょう。

まずは1通目のプロパティ

確かに差出人に「smbc」と書かれてはいるもののメールアドレスがあからさまに三井住友の
それと全然違う”yq3hfk.cn”なんてドメインのものが使われていますね。
もう明らかに詐欺メールです。

そしてこれが2通目

こちらは真面目に「SMBC <no-reply@smbc.co.jp>」と慎重派ですね。
まぁこれも嘘ですがね(笑)

件名に関しては1通目が「[spam] 重要】＜三井住友カード＞ご利用確認のお願い」
と[spam]スタンプが押されていますし、「【」部分が抜けてたりと件名でもいい加減さが
出ていますね。

2通目は、サーバーにスパムスタンプの機能が無いので[spam] とは追記されていませんが
件名は「＜重要＞【三井住友カード】ご利用確認のお願い」とやはりまともに書かれています。

これらを見ると、犯人の性格と言うか人柄と言うか如実に滲み出ていますね(笑)
こういう比較の仕方もある意味面白いですね～♪

差出人の送信サーバーはどこ？

引続きヘッダーソースからわかる差出人の利用したメール送信サーバーの情報を
”Received”フィールド比較してみましょう～

まず1通目がコレ

ここに書かれている「142.11.202.70」って数字が、差出人が利用したメール送信サーバーの
IPアドレスで言わば住所みたいなもの。
これを元にサーバーの所在地を確認すると、アメリカに設置されているようです。

そして2通目の”Received”フィールドがこちら。

これも同じように調べてみた結果ではこちらのサーバーは香港に設置されているようです。

やはり犯人は別の集団のようですね。

こうやって見ると単に同じタイトルの迷惑メールでもそれぞれ個性があるようですね。
まぁどちらにしても悪意のあることには変わりありません。

1通目のリンク先は既に対策されてて詐欺サイトへはこのような画面が表示され
接続できないようになっていました。

また2通目に関してはうちのメールサーバーの方で対策されたようで、メールにあるリンク
自体がマスクされてクリックしてもアクセスできなくなっていました。

こういった迅速な対応はありがたいですね。

今回はたまたま同じ件名でも中身の違うメールがあったので比較してみましたが
実際には非常に危険なメールなので火遊びはいけませんよ！