『詐欺メール』「【重要なお知らせ】エポスNet ID 必要の再アクティブ化リクエスト」と、来た件

最近流行の「不正利用監視システム」(笑)

今朝、こんなメールが届いていました。

何でもかんでも送ってきやがって！
だいたいなんすか？エポスカードって…
私、知らないんですけど…(笑)

どうやら「エポスカード」は、株式会社丸井グループの子会社のクレジットカード会社
みたいです。
と言うことは、カード利用者を狙ったフィッシング詐欺のメールですね。

まぁどっちにしてもこの「不正利用監視システム」と書かれてる本文の文面は例の一連の
ヤツと一緒です。

まず基本中の基本「文頭に宛名が無い。」
これは詐欺メールの大きな特徴です！
時には「親愛なるお客様」なんて書かれてる場合もありますが、こちらのユーザー名
や氏名が書かれてないものは、フィッシング詐欺メールの可能性は大です。
だってこういうメールの差出人が持ってるこちらの情報はメールアドレスだけですからね。

「不正利用監視システム」はトレンドです(笑)

差出人は「エポスカード <info@epos.jp>」と書かれていますが
エラー時の返信先である”Return-Path”には「<kovmmqg@eposcard.co.jp>」
調べてみると「エポスカード」さんの正規ドメインは「eposcard.co.jp」が正解。
「epos.jp」を調べると実在はしますが、ウェブサイトは工事中となっていて実際に
メール等で運用されているかどうかは不明でした。

件名は「[spam] 【重要なお知らせ】エポスNet ID 必要の再アクティブ化リクエスト」
ちょっと日本語がおかしいですね(笑)
それに日本の企業さんからのメールの件名に「再アクティブ化リクエスト」なんて
こんな難しい言葉使いますかね？
[spam]と書かれているんでうちのサーバーは迷惑メールと判断を下しています。

それにしてもこの言い回しは最近のフィッシング詐欺メールのトレンドですね(笑)

さて、こちらがこのメールのヘッダーソースの一部

重要なのは「Received: from eposcard.co.jp (unknown [117.51.159.217])」と書かれた部分
これは差出人が使ったメール送信サーバーが刻み込んだ自局の情報。
この数字の羅列がそのサーバーのIPアドレス。
これを調べることでサーバーの設置場所がおおよそ分かります。

ありゃりゃ、また中国ですか(^^;
ホント多いですね、中国発信のメールが…

完璧なパクリサイト

本文にあるリンクは詐欺サイトへの入り口
このメールにはこんなURLが書かれています。

”eposcad”が使われたドメインになっていますが、よく見てくださいよ。
ドメインが”.vip”となっています。
日本の企業、それも金融機関が”.vip“なんて怪しいドメインを使うでしょうか？
絶対に使いませんよ。

その証拠にほら。

繋ごうとするとウイルスバスターに遮断されたではありおませんか(^^;

危険を承知で開いてみると。

「エポスNet」のログインページが表示されましたが、これ完璧なパクリサイトです。
パクリサイト自体はスキルさえあれば簡単に作ることができますが、これも立派な犯罪！

このサイトに使われてる怪しいドメインを調査してみました。

ドメイン申請に関する情報は見事にマスクされています(^^;
それでも申請者の情報は中国吉林省に住む人物だと分かります。
申請は2021年01月28日ですから昨日ってことですね。
このドメインが割当てられてるIPアドレスは「23.94.4.96」だと分かります。
また、このIPアドレスは現在アメリカ合衆国ニューヨーク州で利用されているとなって
いますから先ほどのパクリサイトはここで運営されているサーバー内に設置されている
と言うことですね。

詐欺はこのパクリサイトに誘導しログインさせることでユーザー情報を盗み取り
その後盗んだユーザー情報で成りすまして詐欺が行われます。

このようにちょっとした知識さえあれば憎きフィッシング詐欺を未然に被害を
防ぐことができますのでご参考になれば幸いです。