『詐欺メール』「[American Express]のセキュリティ通知 」と、来た件

そのドメインは現在使われておりません(笑)

今回のメールは”American Express”からとなっています。
例によって第三者による不正ログインを謳ったクレジットカード会社を騙るフィッシング
詐欺メールです。

件名は
「[spam] [American Express]のセキュリティ通知 」
先頭の”[spam]”はスパムスタンプで受信サーバーに設置されたスパムフィルターが付加した
セキュリティースタンプ。
これが付いているメールは悪意のあるジャンクメールを表します。

差出人は
「 “American Express” <inoifqlfc@cgxmmjyesl.us>」
まず、アメリカンエキスプレス社の正規ドメインは”americanexpress.com”です。
信用問題に関わりますから、正規ドメインを持つ企業が全く関係のないドメインを使った
メールアドレスを利用しメールを配信することは考えられません。
それが証拠に、この”cgxmmjyesl.us”なんてドメインは誰からも取得された形跡はありません。

じゃ、誰がどこからこのメールを送ったのでしょうか？
それを紐解くには、ヘッダーソースと呼ばれる詳細情報の”Received”ってフィールドを
調べる必要があります。
このメールには4つの”Received”フィールドが存在します。
”Received”フィールドはメールが通過した各サーバーが自身で自局情報を書き込むもの。
その中にあるタイムスタンプの一番古いものが差出人が利用したメールサーバーの情報。
このメールの場合、このように書かれていました。

このメールの送り主の本当のドメインは”static.cnode.io”
クレカ系の詐欺メールでは当たり前に見かけるドメインです。
そして末尾の”160.251.62.255”がそのサーバーのIPアドレス。
IPアドレスを基にその位置情報をつかむことがは可能。
調べてみると、このIPアドレスが利用されている場所は東京都心と表示されました。

詐欺サイトはソウルに設置？！

続いて本文に目を向けてみます。

第三者による不正ログインがあったと、ありがちな内容です。

最後の「 ログイン管理画面を開く ヘルプページを開く 」と書かれた行に詐欺サイトへの
リンクが張られています。

よくこんなドメイン空いてましたね…
っと、思いきや目を凝らしてよ～く見てみると。

”amerieanxpress”

ああ、若干スペル変えてあるし…(笑)
それに”cn”は中国のトップレベルドメイン。
アメリカンエキスプレスが中国のドメインでウェブサイトを開きますかね…(^-^;

この”amerieanxpress.cn”ってドメインも調査してみます。

”Registrant”の項目には、中国人らしき漢字三文字の氏名が記載されていました。
そしてこのドメインが割り当てられているIPアドレスは”115.144.69.110”で、このIPアドレス
から割出した位置情報が韓国となっています。

ということは、リンク先の詐欺サイトを運営するサーバーは韓国にあることが分かりました。

まとめ

リンク先へ訪れるべくリンクをクリックすると、開いたのはアメリカンエキスプレスの
ログイン画面。
完全にコピーされたフィッシング詐欺サイトです。

サイトのコピーなんて簡単にできてしまいますが、これも立派な犯罪です！
ここにユーザー名とパスワードを打ち込んでログインボタンを押すとその情報が犯人側に
詐取され悪用されてしまいますので要注意！
ご注意ください。