『詐欺メール』JCBから「カード暗証番号の照会がありました」と、来た件

週末に合わせたかのように朝のメールチェックに複数の迷惑メールが引っかかりました。
そのうち1通はJCBを騙るなりすましメールでもう1通はアマゾンを騙ったなりすましメール。

どちらも低俗な詐欺メールなんですが、その中も今回はJCBのなりすましメールを
ご紹介しようと思います。

こちらがそのメール。

差出人は「JCB Webmaster <mail@qa.jcb.co.jp>」
”jcb.co.jp”ってドメインはJCBさんの持ち物のようですが”qa.jcb.co.jp”でウェブ検索を
行うと、詐欺メールの情報がわんさかと出てきます！
もちろん言うまでもなくこのメールアドレスは偽装されています。

件名は「[spam] カード暗証番号の照会がありました」
”[spam]”が付いてるんで迷惑メールなんですが、それ以前に差出人で確定してます(笑)
ところで「カード暗証番号の照会」なんてことは実際にあるんでしょうか？
入出金の紹介はあるかもしれませんが暗証番号って…(^^;
こんなの問い合わせたら絶対怪しまれますやん…
こんな言葉出したら騙しやすいと思ったのかただ単に脅し文句に使いたかったんでしょうね。

下はこのメールのヘッダーソースです。

注意したいのはこの行。

いつも書きますが、これは差出人が利用したメール送信サーバーが勝手に書き込んだ情報。
この行を紐解くことで差出人のが使ったサーバーの位置情報を取得することができます。

ほらね、検索結果は「香港」と出ましたよ！
もうこの時点でこのメールは詐欺メールとはわかっていますが、JCBが香港のサーバーから
メールを送るかって話ですよ。

怪しい中華フォント

ちょっと本文のフォントが気になったのでHTML形式の文章をテキストに表示切替をして
見たのがこちらの画像です。

どうですか、このフォント…
私なんか寒気がして鳥肌が立ってきます(笑)
直接の”直”の字なんて絶対に”直”だけ出されたら読めませんわ～。
先程の香港といいこのフォントといい、絶対中華系の人物の仕業です！

このメールは「暗証番号の照会があったので心当たりがなければ貼られたリンクから
確認してください」という内容です。
なので本文にはその確認サイトへのリンクが貼られています。

このメールでは上の2か所。
どちらもそれらしいURLですが、これは偽装されています。
上の段が実際にはこちらのサイトへ誘導される偽装。

で、下の段がこちらに誘導されます。

よく見ると、”http://”から始まるURLでプロトコルが暗号化されていませんね。
これをつなぐと安全な接続ができないのでブラウザのアドレスバーにこのような
警告メッセージが表示されます。

そしてどちらも使用されているドメインは「my-jcb.eh2snkl.top」
”.top”なんてめちゃめちゃ怪しいドメインが使われています(-_-;)
このドメインの所在地はここ。

悪いやつらは、こんなところにサーバーを立てて悪さを行っているんですね。

こんなのに引っかかる人居るとは思えませんが、もしかして何かのお役に立てばと思い
エントリー書かせていただきました。
皆さんくれぐれもお気をつけて！