『詐欺メール』「【重要】UC CARDカードご利用確認」と、来た件

国内金融機関が中国ドメインでメールを？！

ホントいつまで続くんでしょうね？　カード会社を騙ったフィッシング詐欺メール。
今度は、みずほ銀行の子会社のUCカードを騙り第三者不正利用を装ったものです。

件名は
「[spam] 【重要】UC CARDカードご利用確認」
例によってサーバーのセキュリティーに付けられた”[spam]”が付いています。

差出人は
「UCカード <uc-card-accaunt@yreqg2t.cn>」
UCカードさんの正規ドメインは”uccard.co.jp”です。
間違っても日本の大手銀行が”cn”なんて中国のドメインを使うはずがありません(笑)
これ、簡単にジャンクメールを見分ける方法ですので覚えておいて損はありませんよ！

しかしこの差出人部分は簡単に偽装できるので”yreqg2t.cn”ってドメインも怪しいもの。
ちょっとメールのヘッダーソースにある”Received”を調べてみます。

”Received”は差出人が利用した送信サーバーのホスト情報です。
このフィールドはサーバーが勝手に書き込むので偽装はしにくい部分。
末尾の4つの数字がIPアドレスと呼ばれる固有の数字。
これを調べることで様々な情報を取得することができます。

とあるサイトで検索してみると。

どうやらこのIPアドレスはちゃんと”yreqg2t.cn”ってドメインに割当てられていて
現在中国にその所在があることも判明。
ということは、このメールの差出人は偽装せず自身のメールアドレスで詐欺メールを
送り付けているということになりますね。

あまり詳しい情報は得られませんでしたがドメインの申請者氏名は漢字三文字の方でした。

リンク偽装

本文はご多分に漏れず、いつものようにカードの第三者不正利用を騙り受信者を不安にさせ
文中にあるリンクへ導き詐欺サイトへ誘い込んでカード情報や個人情報を詐取する内容。

本文に記載されたURLこちら。

ん？
”uccard.co.jp”ってUCカードの正規ドメインが使われていますね…(汗)
でもこれはリンク偽装でウソ！
試しにリンクをクリックしてみると…

別サイトへの誘導だと”Thunderbird”から警告を受けました。

で、実際に接続されるのはこちらの中国ドメインのURL。(笑)

当然このドメインも調査しましたよ。

またあまり詳しい情報は得られませんでしたが、これによると、申請者は漢字二文字の方。
そして割当ててるIPアドレスから取得できた位置情報はアメリカ。
もっと詳しい位置情報を探ってみると…

カリフォルニア州のロサンゼルス西方にあるカラバサスと言う街が検索されました。
もちろんおおよその位置ですが、ここに詐欺サイトを運営するウェブサーバーが設置されて
いるようですね。

偽装されたリンク先を訪れようとすると…
既にセキュリティー企業には周知されているようで、トレンドマイクロ社のウイルスバスター
に遮断されてしまいました。

ブロックを無視して先に進んでみると。

「UC CARD アットユーネット！」と書かれたログインページに接続されました。
ここのIDとパスワードを入力してしまうとユーザー情報が詐取されてしまいます。

因みにこちらが本家UCカードアットユーネット！のログインページです。

まぁ、パズル認証付けてもIDとパスワード知ってりゃ意味ありませんけどね(笑)
よく見ると「アットユーネットを装ったサイトにご注意ください」と注意喚起されていますよ。

まとめ

きっとカード会社の数だけ第三者不正利用を装う詐欺メールは続くんでしょうね。
困ったもんです(-_-;)

今回は、差出人のメールアドレスのドメインで偽装を気づくことができました。
そのほかにもいろいろテクニックがあります。
自身の身は自身で守る！
そんなスキルアップの技を身に着けて被害に遭わないよう心掛けましょう！！