『詐欺メール』「セキュリティシステムがアップグレードされました。個人情報の更新を完了してください。」と、来た件

詐欺師が詐欺の注意喚起を?!(笑)
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

PayPay銀行が中国ドメインで?!

今度は、日本の”PayPay銀行”を名乗り、セキュリティー対策名目を騙って詐欺を仕掛けてきた
フィッシングメールです。

件名は
「[spam] セキュリティシステムがアップグレードされました。
個人情報の更新を完了してください。」
“[spam]"は付けられてるんで迷惑メールなのは一目瞭然!
これは「スパムスタンプ」と呼ばれるもので、受信サーバーに設置されたセキュリティー
フィルターは付けた注意喚起です。
これが付いているメールは詐欺メールなどの迷惑メールだということがすぐに分かります。

セキュリティーシステムがアップグレードされたからと言って、ユーザー側で個人情報を
更新しなければならないなんてあり得ません。
普通なら、夜間にこっそりと何事もなかったかのようにサービス側で更新されるはず!

差出人は
「"<PayPay銀行>" <fuwu@szjamieeliot5.cn>」
よくも堂々と"cn"なんて中国のドメインを表に出して「PayPay銀行」を騙れたものです!
それも”szjamieeliot5.cn”なんてPayPayやジャパンネット銀行にかすりもしないサブドメイン
を使って。。。

ヘッダーソースの解析結果は?

では、いつものように「フィールド御三家」を使ってこのメールを解析してみます。

Return-Path: <fuwu@szjamieeliot5.cn>

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:<00c975a71a5d$ebe5a896$f9cd6a83$@paypay-bank.co.jp>

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。
Received: from paypay-bank.co.jp (unknown [42.224.228.154])

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

信頼できる2か所のサイトで確認すると、中国河南省洛陽市付近が推測されました。
あくまでおおよその位置ですが…
この地域に設置されたメールサーバーを介してメールを発信した模様ですね。

詐欺サイトは既に閉鎖

メールの本文は、先の画像をご覧いただいた通り、味気の無い文字ばかりのメールです。

内容は、このように書かれています。

※ 最近、詐欺事件が多発しているため、お客様の口座のセキュリティを確保するため、
銀行のセキュリティシステムをアップグレードしました。お早めに個人情報の更新を
完了してください。

件名の紹介にも書きましたが、ユーザー側で個人情報を更新しなければならないなんて
あり得ません。

それを謳って受信者を不安にしリンクへ導く犯人の常套手段です!
メールに書かれているリンクのURLはこちらですが…

ちゃんとPayPay銀行の正規ドメインの”japannetbank.co.jp”を使ったリンク先ですね。
でも、もちろんこれは偽装。
実際にHTMLで書かれているリンク先はこちらでした。

japannetbank”のかけらもありゃしない(笑)
それにしても長ったらしいサブドメインですね(;^_^A

このドメインも調査してみます。
私にできるのは、これくらいのことしかありませんので…(^-^;

このドメインの登録者は、この調査でよく見かける3文字の氏名の方。
ドメインはアリババグループのレジストラを介して申請されています。

そして、割当ててるIPアドレスから推測される地域はこちら。
アメリカニューヨーク州バッファロー ジェネシー・モーゼルって街。
あくまでおおよその位置情報ですが。。。

ここに設置されたウェブサーバー内でPayPay銀行の偽サイトを運営しているようです。
っと言うか、されていたようです。
何故過去形かと言うと…

詐欺メールの旬は短いんです。
目標を達成したのか、それとも当局に排除されたのか分かりませんが、サイトは既に閉鎖
されていました。

まとめ

残念ですね、完コピ偽サイトを一目見たかったのに…(笑)

PayPay銀行にも恐らくユーザー用のスマホアプリがあると思います。
PayPay銀行に限らず、金融機関やカード会社、ショッピングECサイトなどお金に関わる
メールは、絶対にリンクをたどらず、必ずスマホアプリを介してログインしましょう!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールIPアドレス,japannetbank.co.jp,Message ID,paypay-bank.co.jp,PayPay銀行,PayPay銀行が中国ドメインで,Received,Return-Path,SMS,SPAM,szjamieeliot5.cn,ジャンクメール,セキュリティシステムがアップグレードされました,ドメイン,なりすまし,フィールド御三家,フィッシング詐欺,ヘッダーソース,メール,ワードサラダ,個人情報の更新を完了してください,完コピ偽サイト,拡散希望,注意喚起,著作権法違反,詐欺,詐欺サイト,詐欺メール,詐欺メールの旬は短い,調査,迷惑メール,重要

Posted by heart