『詐欺メール』「【Webエムアイカード会員サービス】ご利用確認」と、来た件

怪しいメールはヘッダーソースで判断

またクレジットカード会社を装ったフィッシング詐欺メールです。
今回は三越伊勢丹グループ系カード会社の「エムアイカード」の成りすまし。

まず、このような内容のメールの場合、宛名が「エムアイカードをご利用のお客さま」
なんてことは絶対にありません。
客先宛の大切なメールの場合、宛名は必ずご本人名で送られてくるのが常識。
ですから、宛名でピンと来てください！

差出人が「エムアイカード <micard.co.jp>」で
件名は「[spam] 【Webエムアイカード会員サービス】ご利用確認」

そしてメールの「ヘッダーソース」がこちら。

差出人のメールアドレスに「micard.co.jp」としておきながら、”Return-Path”が
「ozbzqzo@mdheglsefc.info」とは少し変ですね。
”Return-Path”は差出したメールの宛先が間違っていた時など不備があった場合にその旨を
自動で返信するメールアドレスです。
ここは本来差出人のメールアドレスと同じか、少なくともドメインだけは同じのはずです。
なのにこのメールの”Return-Path”は、それとはまったく異なる”mdheglsefc.info”なんて
ドメインになっています。
これもブラックメールを判断するのに必要なスキルなので覚えておいても損はありません！

そして、最終行の”Message-ID”もしかり。
ここも末尾のドメインが”Return-Path”と同じ”mdheglsefc.info”ってドメインですよね。
ここも本来は差出人のメールアドレスと同じドメインかもしくは差出したホストの名前に
なっているはずです。
これもこういったメールを判断する1つの材料になるので覚えておきましょう！！

さて、お決まりのホストIPチェックです♪
ヘッダーソースの”Received”フィールドにあるのが差出人が利用したメールサーバーの
ホスト情報。
ここにはこのように記載されていますね。

「from mdheglsefc.info (v133-130-54-35.a00b.g.tyo1.static.conoha.io [133.130.54.35])」

”tyo1.static.conoha.io [133.130.54.35]”がそのホスト情報で、これらは送信サーバーが
自動で刻む情報。
これをもとにホストの位置情報を割り出してみます。

このドメインはちょくちょく見かけるのでおおよそ察しは付いていましたが、やはり。

この位置情報は残念ながらピンポイントではなくおおよその市町村までしか
特定できませんのであしからず…

落としどころ分ってらっしゃる(笑)

次に本文を確認します。

国内からのメールなので日本語もそれなりかなとツラツラ読み進めていくと…

「大変お手数ではございますが、下記ＵＲＬからログインいただき、」って。。。
この先は尻切れトンボになってますね(笑)

ちゃんと落としどころ作ってあるのはさすがです！(笑)

しかし、このメール上の文章にも見えるように、ログインを促すサイトのURLがあからさまに
「エムアイカード」のドメインとは全然違う「robpaulsen.com」なんてドメインになって
いますが…
普通の詐欺メールはボタンリンクにしたり、表向きを正規サイトのURLにしておき裏で
偽装し偽サイトへのリンクを付けたりするのに何故でしょう…

せっかくなので偽サイトを見に行ってみると。。。

既に閉鎖した模様です…(汗)

しかし、サイトはサーバー機能を停止すれば閉鎖できますが、ドメインはそうはいきません
申請情報とホスト情報を確認してみると、このような結果が。

申請者の住所は中国の上海とされています。
そして「robpaulsen.com」ってドメインを使ってるホスト、すなわちウェブサーバーの所在は
アメリカのロスアンゼルス近郊ってことになりますね。

このようなメールを本当にこのクレジットカード会社を利用しているユーザーに届いたとしたら
どうでしょうか？
やはり騙されてしまう人が何人かは居るんでしょうね(汗)

やはり、近年誰もがメールアドレスを持つデジタル時代。
それなりにスキルを持たないと危険ですね！

皆さん、くれぐれも気を付けてくださいね！！