『詐欺メール』PayPay銀行から「個人情報の更新専用URLのご案内」と、来た件

メールも偽装、サイトも偽装？！

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. PayPayが香港のサーバーを使う？
2. ウェブサイトのコピーも立派な犯罪！
3. まとめ

PayPayが香港のサーバーを使う？

雨が降っててうっとおしいお天気の名古屋。
せっかくの土曜も屋根の下でうんざりしている中、またPayPay銀行に成りすまし
個人情報の更新が必要になったと嘘をつき、その情報を盗み取ろうとする詐欺メールが
届きました。

件名は
「[spam] 個人情報の更新専用URLのご案内」
これだけじゃ意味わかりませんよね？
件名なので本文を悟るような内容じゃないといけません。
それ以前に”[spam]”付いてるんで迷惑メールなんですけどね(笑)

差出人は
「＜PayPay銀行＞ <eo@japannetbank.co.jp>」
“japannetbank.co.jp“はPayPay銀行の正規ドメイン。
そう、ジャパンネット銀行はPayPay銀行に変わったんですよね！
これ本当に差出人のメールアドレスなんでしょうか？
いつものようにメールのヘッダーソースにある「フィールド御三家」を使って解明して
いきましょう！

これがこのメールにあった「フィールド御三家」

Return-Path: <eo@japannetbank.co.jp>

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:＜20210904091627170521@japannetbank.co.jp>

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received: from japannetbank.co.jp (unknown [123.58.197.173])

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

結果がこちら。

リモートホスト欄にIPアドレスが書かれているので、このIPアドレスにはどのドメインも
割当てられてないようです。
なので、メールアドレスにあった”japannetbank.co.jp“は偽装と言うことになります。
そして、割り当て国が香港となってますから、差出人は香港にあるメールサーバーから
このメールを配信したことになりますね。

ウェブサイトのコピーも立派な犯罪！

では本文です。

※PayPay銀行口座の個人情報の有効期限が切れています。
ご利用前に個人情報を更新してください。▽お手続きはこちら
://login.japannetbank.co.jp/wctx/NBG129A0G13.do?MngKey=77C0C0C9587615370B2DF743DBE3E32F
※メールを受け取ったお客さま専用のページです。ほかのお客さまはご利用いただけません。

上記URLの有効期限は2021/9/4です。
期限内に申し込みが完了しない場合、取引が制限される場合がありますので、お早めに個人情報の更新を行ってください。ご不便をおかけして申し訳ございません。

(URLは直リンクしないよう手を加えています)

URLにも”japannetbank.co.jp“が使われていますが、こちらも当然偽装されているはず。
リンク先のURLを取得してみると、こんな長ったらしいURLにリンクされていました。