『詐欺メール』「【TS CUBIC CARD】お知らせ」と、来た件

カード会社を装ったメール多すぎ！

いよいよ2021年のゴールデンウィーク突入ですね！！
何を隠そうわたくし、事務所にてお仕事しています…(´・ω・`)

さてそんな中、今朝もこのようなジャンキーなメールが届いていました。
例によって最近多いクレジットカード会社を装ったフィッシング詐欺メールです。

今回は「ENEOSカード」と「TS CUBIC CARDカード」ユーザーを狙ったもの。

本文の内容は、この手のメールは全て同じで、カード不正利用の疑いがあるので
指定のリンク先にログインして利用確認を促すもの。

ではメールのプロパティーから見ていきましょう！

嘘に塗り固められたメール

差出人は「MY TS3 <sumitclub.jp.info@ts3card.com>」
なんだなんだこのメールアドレスは、アカウントにドメインっぽいの入ってるし…
当然のことながらこのメールアドレスは、偽装で差出人本人のアドレスではありませんので
要注意です！！

これはこのメールのソースを抜粋したもの。

”Return-path”は何らかのエラーでこのメールが不達だった際に折り返される返信先です。
当然一般的には差出人と同じアドレスであるのですが、ここには全く違うアドレスが
書かれています。

ここに書かれてる”bvxsdr.mobi”ってドメインはよく見ると”Message-ID”フィールドにも
使われていますね。
もっともこれらも偽装可能な箇所なので簡単に信じちゃいけません！
このドメイン本当に使われているのか確認してみましょう！

はやり未登録の空ドメインのようなので偽装されています。

件名は「[spam] 【TS CUBIC CARD】お知らせ」
なんか単語だけつないだ感じの件名なので差出人はどうやら日本語が得意ではなさそう…
このメールうちのサーバーのセキュリティーに引っ掛ったので頭に”[spam]”ってスタンプ
押されちゃってます(笑)

先程のソースにある“Received”ってフィールドはメールが通過したサーバーがそれぞれ
書き込むそのホスト情報で、ここに抜き出したのは差出人の”Received”です。

Received: from bvxsdr.mobi (v150-95-221-206.ydvw.static.cnode.io [150.95.221.206])

”ydvw.static.cnode.io [150.95.221.206]”がホスト情報です。
このドメインはこのカード系に限らずフィッシング詐欺メールにはよく見かけるもの。
最後の4つのセグメントに区切られた数字がIPアドレス。
このIPアドレスやドメインからおおよその位置を知ることが可能です。
このIとドメインはそれをするまでもなく東京の都心。

完コピパクリサイト

本文に目を移します。

この手のメールには必ず偽サイトへのリンクがくっついています。
このメールではこちらのURL

つないでみると。

やっぱり完コピパクリサイトです(^^;

先程書いたように、このURLも使われているドメインから位置情報を取得できます。
このURLのドメインは”ts3carb.co”じゃなくて”tzbyp.com”が正解！
ではこのドメインを調べてみましょう！

まずはドメインの申請情報から。

これは必要な情報だけ抜粋したものですが、申請は中国の上海からでアリババ経由
となっています。

そしてこのホスト(ウェブサーバー)のおおよその位置情報がこちら。

あくまでおおよそですのであしからず…

こんなウェブサイト作ってる暇あったら仕事した方が良いと思うのは私だけじゃないはず(笑)
こんなスキル持ってるなら悪事じゃなく良いことに使いましょう～♪