『詐欺メール』「三井住友カード]のセキュリティ通知」と、来た件

差出人は、さくらインターネットユーザー?!
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

”[spam]”があれば迷惑メール

相変わらずクソ暑い日々が続いていますね。

私と言えば、2度目のワクチン接種からちょうど1週間。
いまだに微熱と腹痛が続いています。。。(;^_^A

さて、今朝もまたまたフィッシング詐欺メールの話題で恐縮です。
また三井住友カードを装い第三者不正ログインを騙ったメールが届きました。

件名は
「[spam] [三井住友カード]のセキュリティ通知」
まま、よくありがちな件名ですよね。
[spam]は受信サーバーに強制的に付加されたスパムスタンプです。
うちのサーバーには”スパムフィルター”と呼ばれる迷惑メールを仕分けして教えてくれる
セキュリティーが施されているので、悪意のあるメールなどはこのように分類されて
送られてきます。
ですから、このスタンプが付けられているものは全て迷惑メールの類となります。

差出人は
「三井住友カード <mail@contact.vpass.ne.jp>」
”vpass.ne.jp”は三井住友カードVpassの正規ドメインですが…
本当かどうか、メールのヘッダーソースの「フィールド御三家」で確認していきます。

Return-Path: <mail@contact.vpass.ne.jp>

このメールの宛先にエラーがあった場合の返信先。
一般的には送信者のアドレスになる部分。
ドメインが"vpass.ne.jp"と正規表現になっていますが、誰でも簡単に
偽装可能なフィールドです。
Message-ID: <00bb2c8d742c$1970789a$65b7ceda$@bzspycnaa>

メール固有の識別番号で世界中に1つしかありません。
@より後ろは、ドメインかデバイスの名前が入ります。
ここも簡単に偽装できますので鵜呑みには注意!
Received: from mta0.163.43.106.17 (unknown [163.43.106.17])

ここは、メールが通過した受送信サーバー自身が書き込む自局のホスト情報。
サーバー自身が書き込むので、一般的には偽装できません。

件名に”[spam]”が付いてるので良くないメールであることは既に判明しています。
この「フィールド御三家」から、送信元をたどるのに必要なのは”Received”。
これを使って差出人が利用した送信サーバーの情報を取得してみましょう。
末尾にある”163.43.106.17”はそのサーバーのIPアドレスです。
これを使ってその位置を取得します

IPの利用者は「さくらインターネット」となっているので、この差出人は、こちらの
レンタルサーバーのユーザーっぽいですね(汗)

「さくらインターネット」の拠点は大阪市北区大深町ですから、ピッタリ合致していますね。

宛名の無いメールは×

では続いてメールの本文。

三井住友カード セキュリティーセンター

ログイン日時:2021/08/28 – 4:31:29
アクセス元:Japan
端末名:Windows(パソコン)
IPアドレス:89.65.61.239

■■■■■■■■■■■■■■■■■■■■■■

平素は弊社カードならびにインターネットサービス「Vpass」を
ご愛用いただき、厚く御礼申し上げます。

あなたのIDとパスワードで第三者がログインした形跡が見つかったため
ログイン一時停止を行いました。ログインするにはパスワードの再設定を行って下さい

三井住友カードからのお知らせ
▼ID情報照会・変更
ttps://www.smbc-card.com/mem/index.jsp

今後とも「Vpass」のご利用をよろしくお願いいたします。

まず、「~様」とかの宛名がありません。
これは詐欺メールの大きな特徴!
だって差出人はどこかから流出したメールアドレスのリストを使って詐欺メールを
送ってるので、こちらの氏名など知る由もありませんから。

そして、もっともらしく、”ログイン日時”、"アクセス元"、"端末名”、”IPアドレス"が
記載されていますね。
もちろん全部ウソ!
因みにものIPアドレスは現在ポーランドで利用されているものです。

内容は、例によって第三者の不正利用の通知です。
そして、もっともらしく煽って、焦った受信者を偽サイトへ誘導するというもの。
その誘導同先は、メールに直書きされたこのURL。

っと思いきや!
メールのリンク先のURLをコピーしてみると、実は…

先のURLはウソで、実際のリンク先はこちらのURLでした。

さて、このURLに使われているドメインは誰が申請しどこで運用されているのか。
気になりますよね?
では…

珍しく申請者は、日本人です。
ドメインの管理は「お名前ドットコム」に委託しているようですね。
そして、ドメインの運用先はお隣の韓国と出ています。
もう少し詳しい位置情報を取得してみましょう!

韓国中央にある安養(アニャン)市が抽出されました。

接続してみると…

はいっ、Vpassの完コピ偽サイトが表示されましたね。
本当なら、嘘のIDとパスワードでログインしても良いのですが、面倒なのでやめときます(笑)

まとめ

今回は、日本、ポーランド、韓国と3つの国が出てきました。
ポーランドは差出人には関係の無い国でしたが…
このようなメールが横行していますのでくれぐれもご注意くださいね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールCloudflare,IPアドレス,mail@contact.vpass.ne.jp,Message ID,Received,Return-Path,smbc-card-netwap.info,smbc-card.com,SMS,SPAM,Vpass,クラウドフレア,さくらインターネット,ジャンクメール,セキュリティーセンター,セキュリティ通知,ドメイン,なりすまし,フィールド御三家,フィッシング詐欺,メール,ワードサラダ,三井住友カード,完コピ偽サイト,宛名の無いメール,拡散希望,注意喚起,第三者不正ログイン,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart