『詐欺メール』「[ 三井住友カード]のセキュリティ通知 」と、来た件

日本の金融機関がコロンビアのドメインを？！

鬱陶しい梅雨が明けたとたんの猛暑(汗)
梅雨にも増して嫌な季節が始まりました。。。

さて、その嫌な季節の始まりにこんな嫌なメールも届いていますのでご紹介します。

件名
「[spam] [ 三井住友カード]のセキュリティ通知 」
”三井住友カード”と”[”の間に不杉は半角スペースが入れられていますが、何か意味がある
のでしょうか？(笑)

差出人
「”三井住友カード” <klfgsfzjkr@momwctl.co>」

三井住友カードの正規ドメインは“smbc-card.com”です。
このメールアドレスに使われているドメインは”momwctl.co”なんて全く三井住友カードに
関係のないものが使われていますね。
それに”.co”はコロンビアのトップレベルドメイン。
国内の金融機関が自社に全く関係の無いコロンビアのドメインを使ったメールアドレスを
使い、ユーザーにメールを送ることがあるのでしょうか？…間違いなくあり得ません。

こんなドメイン本当に使われているのでしょうか？

調べると、こんなドメインは実在しないことが分かりました。

このIPアドレスの所在はオランダ

本文は例によって、第三者による不正利用の通知です。

信憑性を高めるため本文にはその不正利用されたとするアクセス元の国と端末、そして
IPアドレスが記載されていますね。
この”137.174.40.144”ってIPアドレスは本当に日本にあるのでしょうか？
調べてみましょう～

その結果は、オランダのアムステルダムと出ました。
これまた嘘なのが判明しました。

そして気になる偽サイトへのリンク。
本文にはこのように記載されています。

出ましたね”.xyz”
”.xyz”は、とても危険な格安使い捨てドメインです。

開いてみると、警告を表す真っ赤なページが表示されました。

危険を承知で先へ進むと、さらにトレンドマイクロ社から警告が！

それでも更に先へ足を踏み入れると、予想通り表示されたのは三井住友カードユーザーサイト
のVpassログインページが表示されました。

もちろん完コピ偽サイトです。

参考までに、このURLに使われている”vpass-smbc-ccad.xyz”ってドメインの情報を
取得してみるとこのような結果が表示されました。

申請は中国の安徽省から、このドメインが割り当てられているIPアドレスが”115.144.69.110”
そしてこのIPアドレスから割出した位置が韓国のソウルでしたので、先の詐欺サイトがここに
設置されているウェブサーバーで運営されているようです。

まとめ

メールのヘッダーソースから割出した差出人の利用したメールサーバーの情報を見ると
差出人は、一連のフィッシング詐欺メールを送り付ける詐欺グループだと分かりました。
この犯人グループは、毎度毎度このようにクレジットカード会社を装い第三者の不正利用を
謳った詐欺メールを送り付けてきます。

このところこのような金融機関を装ったメールが多発していますのでご用心ください。