『詐欺メール』「[オリコポイント]のセキュリティ通知」と、来た件

例によってガード会社を騙るメール

6月も前半を終え暑さが目立つようになってきました。
あと10日ほどで夏至を迎えますが、ここ名古屋では6月9日から16日までの間の日の出が
1年の間で最も早く、その中でも6月11日の明日の日の出が午前4時37分18秒で最も早い
とされています。

さて、今朝の話題はこのメールです。

ここで取り上げるメールなので当然”フィッシング詐欺メール”ですが、突っ込みどころが
いくつかあるので見ていこうと思います。

件名は
「[spam] [オリコポイント]のセキュリティ通知」

オリコポイントとは、オリコカードに付帯するポイントサービスのようですが、実際の
名称は「オリコポイント」ではなく正式には「オリコポイントゲートウェイ」…残念( ;∀;)

差出人は
「”オリコポイント” <kzhgmwqfuk@thxw.us>」

オリコさんの正規ドメインは「orico.co.jp」
このメールのドメインは「thxw.us」

自社ドメインを持ってるのに会員宛に送るメールドメインが全く異なるなんてあり得ません！
それに日本の企業が”.us”なんてアメリカ合衆国の国別コードトップレベルドメインを使う
事もあり得ません！

それにこのドメイン実際には存在しないようです。

メールのヘッダーソースに残された差出人側の”Received”は、その送信サーバーのホスト情報
早速確認してみると確認すると。

また”static.cnode.io”だ、このIPアドレスの所在も調べるまでもなく東京都心。
懲りないなぁ…

作るならまじめに作ろうよ。

以下は、本文をそのままコピペしました。

まず、書き出しが「※メールアドレス（ORICN ID）」となっています。
意味わかりますか？…
普通はここに宛名を書くはず、私には全く意味不明です。

そしてこの「ORICN ID」
オリコのアルファベット表示は”ORICO”でもここに書かれているのは”ORICN”
”オリコン”みたいになっちゃってます、こんなんで大丈夫なんでしょうか？(笑)

次の突っ込みどころは「ログイン一時停。止」
そこに”。”を入れるとはなかなかツワモノっすね！(^-^;

でもって最後の4行。
箇条書きでもないのに”※”を付けたリスト表示。
文章力の無さに脱帽。。。

詐欺サイトは南アフリカで運営？！

ではいよいよリンク先の調査です。
もう皆さんご存じの通り、これらフィッシング詐欺メールには必ずと言っていいほど
完コピ偽サイト行きのリンクが付けられています。

このメールにもご多分に漏れず記載されてて、そのURLがこちら。

オリコの正規ドメイン”orico.co.jp”が使われているので一目に見ると正規サイトかな？
と思えてしまいますが、それに騙されてはいけません。
このリンクにはリンク偽装が隠されています。
実際にこのリンクを右クリックしリンク先のURLをコピーしてみると…

出ました、”.xyz”　詐欺サイトなど悪意のあるサイトでよく使われる格安使い捨てドメイン。

ここに使われている”login.e-orico-service.xyz”ってドメインを調査します。

ドメインの登録申請は中国の安徽省(あんきしょう)から。
そしてドメインを割当ててるIPアドレスから紐解いたホストの所在地は南アフリカ。
こんな場所にウェブサーバーを置いて完コピ偽サイトを運営しているんですね。

ちょっと覗いてみたところ、完コピ偽サイトは稼働中でした。

このようなおかしなメールに惑わされる方は居ないと思いますが、十分にご注意ください！！