『詐欺メール』「【重要なお知らせ】【三菱UFJ ニコス　Net Branch】ご利用確認のお願い」と、来た件

三菱UFJ ニコスカードを騙る不届きもの

土曜なのに以外に出社してるスタッフが多く静かにエントリー中(笑)
さてそんな中、メールサーバー巡回中にこんな迷子メールを見つけました。

これは既に退社したスタッフ宛に届いていたメールですが、宛先不明となって迷子となって
いました。

では件名から見ていきましょう♪

[spam] 【重要なお知らせ】【三菱UFJ ニコス　Net Branch】ご利用確認のお願い」

”[spam]”は”スパム”と読み、スパムスタンプと呼ばれるものでサーバーが危険を察知して
付加した情報です。
ですからうちのサーバーではこのメールは悪意のあるジャンクメールと判断された証拠。
ここに書かれている「Net Branch」ってのはNICOSカードユーザー向けのWebサービス。
どこのカード会社にもよくある明細などを確認できるサービスですね。

差出人は「”三菱ＵＦＪニコス Net Branch” <qezzwxfgxm@yl.cn>」と書かれています。
”.cn”なんて、あからさまに中国のトップレベルドメインを使ったアドレスですが
当然ながらこれはウソ！…ご覧の通りです(笑)

メールヘッダーから抜き出した”Received”フィールドにはこのように記載されています。

“Received”とはメールが経由したサーバーが自身で刻むホスト情報。
末尾の4つのセグメントに区切られた数字がそのホストに与えられたIPアドレス。
この”160.251.60.121”というIPを調べれば差出人の利用した送信サーバーのおおよその
位置を把握することが可能。
ここに書かれているドメインはこれらの調査でよく見かけるのであえて調べるまでもなく
所在地は東京です。

「.xyz」にはご注意を

では、本文。

内容はカード会社騙りの詐欺メールによくあるもの。
まぁいわゆる使いまわしってヤツですわ。

差出人が誘導したい詐欺サイトへのリンクは中央に書かれているURL。

使われているドメインは「2-cr-mufg.xyz」

覚えてても損はない「.xyz」はとても危険です！！

MUFGの正規ドメインは「cr.mufg.jp」
”.xuz”ってドメインは様々なサイバー犯罪に利用されることの多い格安使い捨て
ドメインなのでぜこの機会に覚えておいてください！

接続してみると本物そっくりの完コピ偽サイトが開きました！
現在も稼働中！　とても危険です！！

では続いて、”2-cr-mufg.xyz”ってドメインも調査してみましょう。

ドメインの申請者はアメリカアリゾナ州フェニックス在住。
現在このドメインが割り当てられているIPアドレスから割り出した位置情報が香港。
先程の完コピ偽サイトは香港にあるホストサーバーにて運営されていることが分かりました。

このメールには不審な点がいくつかありましたね。
差出人のメールアドレスに使われていたドメイン、そして詐欺サイトへのリンクURL
使われていたドメイン。
差出人のメールアドレスは、知識さえあればいくらでも偽装できるのであてにできませんが、
特に注意したいのは誘導しようとしているURLのドメイン。
もしあなたにもジャンクメールと思われる不審なメールが届いたら、ここに正規サイトと
同じドメインが使われているかどうかに注目してみてください。