『詐欺メール』「三井住友カード【重要】」と、来た件

宛名がメールアドレスは要注意

最近、週明けのメールチェックはある意味楽しみになってきました(笑)
今朝の受信箱には相変わらず詐欺メールが10通も。

いつも見慣れた件名のものや、最近急増してきた「Pairs アカウントのアップグレード」など
様々なメールが送られてきています。

その中で私の目を引いたのが「三井住友カード【重要】」って件名のメール。

んな訳ないだろ、だってこのメールの宛先は実際に存在しないんだもん。

このメールは既に退社したスタッフ宛のためアカウントが見当たらず受信サーバーに
迷メールとして残されてたものです。

文頭を見てわかる通り大体この手のメールの宛名がメールアドレスってのはおかしい。
これが本物の「三井住友」からのメールなら宛名はこちらの氏名のはず！！
これは「三井住友」のメールに限らず詐欺メールを見分ける1つのスキルです。

三井住友が香港からメールを？！

件名が「[spam] 三井住友カード【重要】」
このようは固有名詞だけの件名は間違いなく詐欺メール。
それに[spam]スタンプ入ってるしね！

差出人はこうなっています
「”SMBC” <***@****.jp>」
“SMBC”って書いておきながら、どういう意味なのかメールアドレスは退社したスタッフと
同じものが書かれています。

こちらがこのメールのヘッダーの一部。

”Return-Path”に「mail@tvpidor.cn」なんて怪しいメールアドレスが記載されていますし
“Received”にも「tvpidor.cn」って同じドメインが見えていますよね。
“cn”はご承知の通り中華人民共和国のトップレベルドメイン。
これが偽装でなければ差出人は中国に関わるグループだと判断できます。

”Received”フィールドの「182.16.41.226」は差出人が利用したメールサーバーが自動で
付加した自局のIPアドレス。
これを調べることで自局の位置をおおよそ得ることができます。
これをもとにとあるサイトで調査してみると…

これが正しければ差出人は香港にあるメールサーバーを利用したことになります。
….三井住友なんて財閥が香港からねぇ～(笑)

詐欺サイトは既に閉鎖

さて、いつものことですがリンクURLの調査もしていきましょう！
こういったフィッシング詐欺メールには必ずと言って良いほど詐欺サイトへのリンク
が貼られています。
リンクボタンだったりバナーだったり、文字列だったり。

今回のリンク先URLがこちら

残念ながら旬が過ぎててつながりませんでしたがドメインの調査くらいはできるはず。
サイトは閉鎖してもドメインは簡単に捨てられませんからね！
ってことでとあるサイトにて「smbc.card.com.soochow.co」ってドメイン情報を
取得してみます。

ドメイン申請は去年の5月16日に中国河南省(かなんしょう)から行われていますが
詳細はすべてプライバシーで保護されています。
で、現在はアメリカに所在があるようで、閉鎖されたサイトはアメリカに置かれていた
ことを表します。

これまでの経験上詐欺メールの多くがこのパターンで、メールサーバーが中国に設置されてて
詐欺サイトがアメリカってパターン。
まぁ同じグループの犯行なんでしょうけどね(^^;

件名、差出人のメールアドレス、宛名など、詐欺メールを見抜く手段はメール自身に複数
隠されています。
最初から疑うのはなかなかできないかもしれませんが、ちょっといつもと違うメールを受け
取ったらこういった個所に注意してみてみることも必要です。
お互い詐欺に遭わないよう気を付けたいものですね。