『詐欺メール』エポスカードから「エポスNet ID 必要の再アクティブ化リクエスト」と、来た件

差出人のアドレスは偽装で悪用されてるかも

以前にもこのようなエントリー書いてますが…
今回も「エポスカード」を騙る迷惑なメールのご紹介。

『詐欺メール』「【重要なお知らせ】エポスNet ID 必要の再アクティブ化リクエスト」と、来た件

エポスカードって？！ご注意！当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください！リンクは当該サイトを装った偽サイトへ誘導で、...

ymg.nagoya

この時と若干違いがあったので再エントリー。
ってか、ネタ切れで(笑)

件名は「[spam] 【重要なお知らせ】エポスNet ID 必要の再アクティブ化リクエスト」
はい、以前と全く同じ…(汗)
もちろん[spam]スタンプ付いてるんで迷惑なメールです。

差出人は「エポスカード <info@epos.jp>」
これも前のと同じ。
それらしいメールアドレスですが、この”epos.jp”ってサイトを訪れてみると
「ただいま工事中です」と書かれたページが表示されます。
ドメイン調査しても古くから使われているドメインで登録情報も確認できるので
たぶんですがこのドメインもアドレス偽装に悪用されてる感じ。
まぁ、ある意味被害者さんなのかもしれません。

メールは中国、サイトは米国

まず大前提として、

わたし「エポスカード」のユーザーじゃありません(笑)

なのでこのようなメールが届いても痛くも痒くもないし大胆な調査ができるんです。
では、以前のエントリーと比較しながら調べていきましょう♪

これがこのメールのヘッダーソースと呼ばれる詳しい情報。

この中で重要なのはこの行。
「Received: from eposcard.co.jp (unknown [117.51.159.25])」
この”117.51.159.25”って数字はIPアドレスと呼ばれる端末情報で世の中に1つしかありません。
これを紐解くことで差出人が利用したメールサーバーの位置関係が分かります。

前のエントリーで調査した時と全く同じ位置を示しました。

その時のIPアドレスを確認してみると…

「Received: from eposcard.co.jp (unknown [117.51.159.217])」

よーく見ると、以前のものと今回のもので”117.51.159”って3つのセグメントが同じ。
これは同じネットワークグループを示すものなので差出人は同一人物もしくはグループだと
予想ができます。

そして、先ほどのヘッダーソースの最下段に書かれているURLがリンク先詐欺サイトの
アドレス。

「X-FEAS-SURL: https://www.eposcacb.top」

前のエントリーのURLはこんな感じでしたね。

「Xhttps://www.eposcacb.vip」

そして「エポスカード」さんの正規URLがこちら。

「https://www.eposcard.co.jp」

注目するのは使われているトップレベルドメイン。
信用置ける日本の金融企業さんが使うドメインで”.top”や”.vip”なんて格安ドメインを
使うなんて絶対にあり得ませんので覚えておいてください！

では、この”eposcacb.top”ってドメインもいつものように調査してみます。

アメリカのカリフォルニア州の「サンノゼ セントラル・サン・ホセ」なんてメキシコチック
な場所が検索されました。

サイトを訪れてみると、パクリサイトが開き現在もしっかり稼働中なのが確認できました。

トップページがドカンとログインページになってるのに少々違和感を覚えますが、れっきと
した完コピサイトですのでそれ自体が犯罪！

このサイトが先ほどの「メキシコチック」な場所に置かれてるウェブサーバーで
運営されているんですね。

このメールサーバーが中国でウェブサーバーが米国ってパターンは非常に多い組合せ。
何か犯罪のしやすさとかあるのでしょうか？

メールアドレスやリンクサイトのドメインに”.xyz”や”.vip”,”.top”など見慣れないものが
使われていたら要注意！！
日本の企業さんがこのような怪しいドメインは絶対に使いませんからね。

確認したようにサイトは現在も稼働中なので注意してください！